El actor de amenazas vinculado a China conocido como Panda evasivo Orquestó ataques tanto a abrevaderos como a cadenas de suministro dirigidos a usuarios tibetanos al menos desde septiembre de 2023.
El fin de los ataques es entregar descargadores maliciosos para Windows y macOS que implementan una puerta trasera conocida llamada MgBot y un implante de Windows previamente no documentado conocido como Nightdoor.
Los hallazgos provienen de ESET, que dijo que los atacantes comprometieron al menos tres sitios web para llevar a cabo ataques de abrevadero, así como también comprometieron la cadena de suministro de una empresa de software tibetana. La operación fue descubierta en enero de 2024.
Evasive Panda, activo desde 2012 y también conocido como Bronze Highland y Daggerfly, fue revelado previamente por la firma eslovaca de ciberseguridad en abril de 2023 por haber apuntado a una organización no gubernamental (ONG) internacional en China continental con MgBot.
Otro informe de Symantec, propiedad de Broadcom, casi al mismo tiempo implicó al adversario en una campaña de ciberespionaje destinada a infiltrarse en proveedores de servicios de telecomunicaciones en África al menos desde noviembre de 2022.
El último conjunto de ataques cibernéticos implica el compromiso web estratégico del sitio web de Kagyu International Monlam Trust («www.kagyumonlam[.]organización»).
«Los atacantes colocaron un script en el sitio web que verifica la dirección IP de la víctima potencial y, si está dentro de uno de los rangos de direcciones objetivo, muestra una página de error falsa para incitar al usuario a descargar un ‘arreglo’ llamado certificado». Investigadores de ESET dicho.
«Este archivo es un descargador malicioso que implementa la siguiente etapa en la cadena de compromiso». Las comprobaciones de direcciones IP muestran que el ataque está diseñado específicamente para atacar a usuarios de India, Taiwán, Hong Kong, Australia y Estados Unidos.
Se sospecha que Evasive Panda aprovechó el Festival anual Kagyu Monlam que tuvo lugar en la India a finales de enero y febrero de 2024 para apuntar a la comunidad tibetana en varios países y territorios.
El ejecutable, denominado «certificate.exe» en Windows y «certificate.pkg» en macOS, sirve como plataforma de lanzamiento para cargar el implante Nightdoor, que, posteriormente, abusa de la API de Google Drive para comando y control (C2).
Además, la campaña destaca por infiltrarse en el sitio web de una empresa de software india («monlamit[.]com») y la cadena de suministro para distribuir instaladores troyanizados de Windows y macOS del software de traducción al idioma tibetano. El compromiso se produjo en septiembre de 2023.
«Los atacantes también abusaron del mismo sitio web y de un sitio web de noticias tibetano llamado Tibetpost – tibetpost[.]net – para alojar las cargas útiles obtenidas por las descargas maliciosas, incluidas dos puertas traseras con todas las funciones para Windows y un número desconocido de cargas útiles para macOS», señalaron los investigadores.
El instalador troyanizado de Windows, por su parte, desencadena una sofisticada secuencia de ataque de varias etapas para eliminar MgBot o Nightdoor, cuyos signos se han detectado ya en 2020.
La puerta trasera viene equipada con funciones para recopilar información del sistema, una lista de aplicaciones instaladas y procesos en ejecución; genera un shell inverso, realiza operaciones con archivos y se desinstala del sistema infectado.
«Los atacantes utilizaron varios descargadores, droppers y puertas traseras, incluido MgBot, que utiliza exclusivamente Evasive Panda, y Nightdoor: la última incorporación importante al conjunto de herramientas del grupo y que se ha utilizado para atacar varias redes en el este de Asia», dijo ESET. .