{"id":1221476,"date":"2024-03-07T19:19:39","date_gmt":"2024-03-07T19:19:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-estatales-chinos-atacan-a-los-tibetanos-con-cadenas-de-suministro-y-ataques-a-abrevaderos\/"},"modified":"2024-03-07T19:19:43","modified_gmt":"2024-03-07T19:19:43","slug":"los-piratas-informaticos-estatales-chinos-atacan-a-los-tibetanos-con-cadenas-de-suministro-y-ataques-a-abrevaderos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-estatales-chinos-atacan-a-los-tibetanos-con-cadenas-de-suministro-y-ataques-a-abrevaderos\/","title":{"rendered":"Los piratas inform\u00e1ticos estatales chinos atacan a los tibetanos con cadenas de suministro y ataques a abrevaderos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de marzo de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ciberespionaje \/ Seguridad de software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenazas vinculado a China conocido como Panda evasivo<\/strong> Orquest\u00f3 ataques tanto a abrevaderos como a cadenas de suministro dirigidos a usuarios tibetanos al menos desde septiembre de 2023.<\/p>\n

El fin de los ataques es entregar descargadores maliciosos para Windows y macOS que implementan una puerta trasera conocida llamada MgBot y un implante de Windows previamente no documentado conocido como Nightdoor.<\/p>\n

Los hallazgos provienen de ESET, que dijo que los atacantes comprometieron al menos tres sitios web para llevar a cabo ataques de abrevadero, as\u00ed como tambi\u00e9n comprometieron la cadena de suministro de una empresa de software tibetana. La operaci\u00f3n fue descubierta en enero de 2024.<\/p>\n

Evasive Panda, activo desde 2012 y tambi\u00e9n conocido como Bronze Highland y Daggerfly, fue revelado previamente por la firma eslovaca de ciberseguridad en abril de 2023 por haber apuntado a una organizaci\u00f3n no gubernamental (ONG) internacional en China continental con MgBot.<\/p>\n

\"La<\/a><\/center><\/div>\n

Otro informe de Symantec, propiedad de Broadcom, casi al mismo tiempo implic\u00f3 al adversario en una campa\u00f1a de ciberespionaje destinada a infiltrarse en proveedores de servicios de telecomunicaciones en \u00c1frica al menos desde noviembre de 2022.<\/p>\n

El \u00faltimo conjunto de ataques cibern\u00e9ticos implica el compromiso web estrat\u00e9gico del sitio web de Kagyu International Monlam Trust (“www.kagyumonlam[.]organizaci\u00f3n”).<\/p>\n

“Los atacantes colocaron un script en el sitio web que verifica la direcci\u00f3n IP de la v\u00edctima potencial y, si est\u00e1 dentro de uno de los rangos de direcciones objetivo, muestra una p\u00e1gina de error falsa para incitar al usuario a descargar un ‘arreglo’ llamado certificado”. Investigadores de ESET dicho<\/a>.<\/p>\n

\"Ataques<\/a><\/div>\n

“Este archivo es un descargador malicioso que implementa la siguiente etapa en la cadena de compromiso”. Las comprobaciones de direcciones IP muestran que el ataque est\u00e1 dise\u00f1ado espec\u00edficamente para atacar a usuarios de India, Taiw\u00e1n, Hong Kong, Australia y Estados Unidos.<\/p>\n

Se sospecha que Evasive Panda aprovech\u00f3 el Festival anual Kagyu Monlam que tuvo lugar en la India a finales de enero y febrero de 2024 para apuntar a la comunidad tibetana en varios pa\u00edses y territorios.<\/p>\n

El ejecutable, denominado “certificate.exe” en Windows y “certificate.pkg” en macOS, sirve como plataforma de lanzamiento para cargar el implante Nightdoor, que, posteriormente, abusa de la API de Google Drive para comando y control (C2).<\/p>\n

Adem\u00e1s, la campa\u00f1a destaca por infiltrarse en el sitio web de una empresa de software india (“monlamit[.]com”) y la cadena de suministro para distribuir instaladores troyanizados de Windows y macOS del software de traducci\u00f3n al idioma tibetano. El compromiso se produjo en septiembre de 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Los atacantes tambi\u00e9n abusaron del mismo sitio web y de un sitio web de noticias tibetano llamado Tibetpost \u2013 tibetpost[.]net \u2013 para alojar las cargas \u00fatiles obtenidas por las descargas maliciosas, incluidas dos puertas traseras con todas las funciones para Windows y un n\u00famero desconocido de cargas \u00fatiles para macOS”, se\u00f1alaron los investigadores.<\/p>\n

El instalador troyanizado de Windows, por su parte, desencadena una sofisticada secuencia de ataque de varias etapas para eliminar MgBot o Nightdoor, cuyos signos se han detectado ya en 2020.<\/p>\n

\"Ataques<\/a><\/div>\n

La puerta trasera viene equipada con funciones para recopilar informaci\u00f3n del sistema, una lista de aplicaciones instaladas y procesos en ejecuci\u00f3n; genera un shell inverso, realiza operaciones con archivos y se desinstala del sistema infectado.<\/p>\n

“Los atacantes utilizaron varios descargadores, droppers y puertas traseras, incluido MgBot, que utiliza exclusivamente Evasive Panda, y Nightdoor: la \u00faltima incorporaci\u00f3n importante al conjunto de herramientas del grupo y que se ha utilizado para atacar varias redes en el este de Asia”, dijo ESET. .<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n