Los hablantes de idioma chino han sido cada vez más atacados como parte de múltiples campañas de phishing por correo electrónico que tienen como objetivo distribuir varias familias de malware como Sainbox RAT, Purple Fox y un nuevo troyano llamado ValleyRAT.
«Las campañas incluyen señuelos en idioma chino y malware típicamente asociados con la actividad de cibercrimen china», dijo la firma de seguridad empresarial Proofpoint. dicho en un informe compartido con The Hacker News.
La actividad, observada desde principios de 2023, implica el envío de mensajes de correo electrónico que contienen URL que apuntan a ejecutables comprimidos que son responsables de instalar el malware. Se ha descubierto que otras cadenas de infección aprovechan los archivos adjuntos de Microsoft Excel y PDF que incorporan estas URL para desencadenar actividad maliciosa.
Estas campañas demuestran variaciones en el uso de la infraestructura, los dominios del remitente, el contenido del correo electrónico, la orientación y las cargas útiles, lo que indica que diferentes grupos de amenazas están organizando los ataques.
En 2023 se detectaron más de 30 campañas de este tipo que emplean malware típicamente asociado con la actividad de ciberdelincuencia china. Desde abril de 2023, se dice que no menos de 20 de esas campañas han entregado Sainbox, una variante del troyano Gh0st RAT que también se conoce como FatalRAT.
Proofpoint dijo que identificó al menos otras tres campañas entregando el malware Purple Fox y seis campañas adicionales que propagan una cepa incipiente de malware denominada ValleyRAT, la última de las cuales comenzó el 21 de marzo de 2023.
ValleRAT, documentado por primera vez desarrollado por la empresa china de ciberseguridad Qi An Xin en febrero de 2023, está escrito en C++ y alberga funcionalidades que tradicionalmente se ven en los troyanos de acceso remoto, como buscar y ejecutar cargas útiles adicionales (DLL y binarios) enviadas desde un servidor remoto y enumerar procesos en ejecución, entre otras.
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
Mientras que Gh0st RAT ha sido ampliamente Utilizado en varias campañas cibernéticas vinculadas a China a lo largo de los años, la aparición de ValleyRAT sugiere que podría implementarse ampliamente en el futuro.
«El aumento en la actividad de malware en idioma chino indica una expansión del ecosistema de malware chino, ya sea a través de una mayor disponibilidad o facilidad de acceso a cargas útiles y listas de objetivos, así como una actividad potencialmente mayor por parte de los operadores de cibercrimen de habla china», dijo la compañía.