El grupo de amenazas persistentes avanzadas (APT) conocido como Panda evasivo se ha observado apuntar a una organización no gubernamental (ONG) internacional en China continental con malware entregado a través de canales de actualización de aplicaciones legítimas como Tencent QQ.
Las cadenas de ataque están diseñadas para distribuir un instalador de Windows para el malware MgBot, dijo el investigador de seguridad de ESET Facundo Muñoz en un nuevo informe publicado hoy. La actividad comenzó en noviembre de 2020 y continuó a lo largo de 2021.
Evasive Panda, también conocido como Bronze Highland y Daggerfly, es un grupo APT de habla china que se ha atribuido a una serie de ataques de ciberespionaje apuntando a varias entidades en China, Hong Kong y otros países ubicados en el este y sur de Asia desde al menos finales de diciembre de 2012.
El sello distintivo del grupo es el uso del marco de malware modular MgBot personalizado, que es capaz de recibir componentes adicionales sobre la marcha para ampliar sus capacidades de recopilación de inteligencia.
Algunas de las capacidades destacadas del malware incluyen el robo de archivos, el registro de pulsaciones de teclas, la recopilación de datos del portapapeles, la grabación de transmisiones de audio y el robo de credenciales de los navegadores web.
ESET, que descubrió la campaña en enero de 2022 después de que se usara una aplicación china legítima para implementar un instalador para la puerta trasera MgBot, dijo que los usuarios objetivo estaban ubicados en las provincias de Gansu, Guangdong y Jiangsu y son miembros de una ONG internacional no identificada.
La aplicación troyanizada es el actualizador de software del cliente de Windows Tencent QQ (“QQUrlMgr.exe”) alojado en el dominio “update.browser.qq[.]com.” No está claro de inmediato cómo el actor de amenazas logró entregar el implante a través de actualizaciones legítimas.
Pero apunta a cualquiera de los dos escenarios, un compromiso de la cadena de suministro de los servidores de actualización de Tencent QQ o un caso de ataque de adversario en el medio (AitM), como lo detalló Kaspersky en junio de 2022 que involucró a un equipo chino de hackers llamado LuoYu. .
En los últimos años, muchos ataques a la cadena de suministro de software han sido orquestados por grupos de estados nacionales de Rusia, China y Corea del Norte. La capacidad de obtener un gran huella maliciosa rápidamente no se ha perdido entre estos atacantes, que se dirigen cada vez más a la cadena de suministro de TI para violar los entornos empresariales.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
“Los estilos de intercepción AitM serían posibles si los atacantes, ya sea LuoYu o Evasive Panda, pudieran comprometer dispositivos vulnerables como enrutadores o puertas de enlace”, explicó Muñoz.
“Con acceso a la infraestructura troncal del ISP, a través de medios legales o ilegales, Evasive Panda podría interceptar y responder a las solicitudes de actualización realizadas a través de HTTP, o incluso modificar paquetes”.
Esto es importante ya que los hallazgos se producen menos de una semana después de que Symantec, propiedad de Broadcom, detallara los ataques realizados por el actor de amenazas contra los proveedores de servicios de telecomunicaciones en África utilizando el marco de malware MgBot.