El actor del estado-nación chino conocido como panda mustang se ha relacionado con un nuevo conjunto de ataques sofisticados y dirigidos contra entidades europeas de asuntos exteriores desde enero de 2023.
Un análisis de estas intrusiones, según los investigadores de Check Point, Itay Cohen y Radoslaw Madej, reveló un implante de firmware personalizado diseñado explícitamente para los enrutadores TP-Link.
«El implante presenta varios componentes maliciosos, incluida una puerta trasera personalizada llamada ‘Caparazón de caballo’ que permite a los atacantes mantener un acceso persistente, construir una infraestructura anónima y permitir el movimiento lateral hacia redes comprometidas», dijo la compañía. dicho.
«Debido a su diseño independiente del firmware, los componentes del implante se pueden integrar en varios firmware de diferentes proveedores».
La firma de ciberseguridad israelí está rastreando al grupo de amenazas bajo el nombre de Camaro Dragon, que también se conoce como BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich.
Actualmente se desconoce el método exacto utilizado para implementar las imágenes de firmware manipuladas en los enrutadores infectados, al igual que su uso y participación en ataques reales. Se sospecha que el acceso inicial se pudo haber obtenido mediante la explotación de fallas de seguridad conocidas o dispositivos de fuerza bruta con contraseñas predeterminadas o fáciles de adivinar.
Lo que se sabe es que el implante Horse Shell basado en C++ brinda a los atacantes la capacidad de ejecutar comandos de shell arbitrarios, cargar y descargar archivos hacia y desde el enrutador y retransmitir la comunicación entre dos clientes diferentes.
Pero en un giro interesante, se cree que la puerta trasera del enrutador apunta a dispositivos arbitrarios en redes residenciales y domésticas, lo que sugiere que los enrutadores comprometidos están siendo cooptados en una red de malla con el objetivo de crear una «cadena de nodos entre infecciones principales y reales». comando y control.»
Al retransmitir comunicaciones entre enrutadores infectados mediante el uso de un túnel SOCKS, la idea es introducir una capa adicional de anonimato y ocultar el servidor final, ya que cada nodo de la cadena contiene información solo sobre los nodos que lo preceden y lo suceden.
Dicho de otra manera, los métodos oscurecen el origen y el destino del tráfico de manera análoga a TOR, lo que hace que sea mucho más difícil detectar el alcance del ataque e interrumpirlo.
«Si un nodo de la cadena se ve comprometido o eliminado, el atacante aún puede mantener la comunicación con el C2 enrutando el tráfico a través de un nodo diferente en la cadena», explicaron los investigadores.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Dicho esto, esta no es la primera vez que los actores de amenazas afiliados a China confían en una red de enrutadores comprometidos para cumplir con sus objetivos estratégicos.
En 2021, la Agencia Nacional de Ciberseguridad de Francia (ANSSI) detalló un conjunto de intrusiones orquestado por APT31 (también conocido como Judgment Panda o Violet Typhoon) que aprovechó una pieza de malware avanzado conocido como Pakdoor (o SoWat) para permitir que los enrutadores infectados se comuniquen entre sí. otro.
«El descubrimiento es otro ejemplo más de una tendencia de larga data de los actores de amenazas chinos para explotar los dispositivos de red conectados a Internet y modificar su software o firmware subyacente», dijeron los investigadores.