Se ha observado que un grupo de ciberespionaje alineado con China ataca el sector de las telecomunicaciones en Asia Central con versiones de malware como ShadowPad y PlugX.<\/p>\n
La firma de seguridad cibern\u00e9tica SentinelOne vincul\u00f3 las intrusiones a un actor al que rastrea bajo el nombre de “Moshen Dragon”, con superposiciones t\u00e1cticas entre el colectivo y otro grupo de amenazas conocido como Nomad Panda (tambi\u00e9n conocido como RedFoxtrot).<\/p>\n
“PlugX y ShadowPad tienen un historial de uso bien establecido entre los actores de amenazas de habla china principalmente para actividades de espionaje”, Joey Chen de SentinelOne. dicho<\/a>. “Esas herramientas tienen una funcionalidad flexible y modular y se compilan a trav\u00e9s de shellcode para eludir f\u00e1cilmente los productos tradicionales de protecci\u00f3n de puntos finales”.<\/p>\n ShadowPad, etiquetado como una “obra maestra del malware de venta privada en el espionaje chino”, surgi\u00f3 como sucesor de PlugX en 2015, incluso cuando las variantes de este \u00faltimo han aparecido continuamente como parte de diferentes campa\u00f1as asociadas con los actores de amenazas chinos.<\/p>\n Aunque se sabe que fue implementado por el grupo de pirater\u00eda patrocinado por el gobierno denominado Bronze Atlas (tambi\u00e9n conocido como APT41, Bario o Winnti) desde al menos 2017, un n\u00famero cada vez mayor de otros actores de amenazas vinculados a China se han unido a la refriega.<\/p>\n A principios de este a\u00f1o, Secureworks atribuy\u00f3 distintos grupos de actividad de ShadowPad a grupos de estados-naciones chinos que operan en consonancia con la agencia de inteligencia civil del Ministerio de Seguridad del Estado (MSS) de China y el Ej\u00e9rcito Popular de Liberaci\u00f3n (EPL).<\/p>\n Los \u00faltimos hallazgos de SentinelOne encajan con un informe anterior de Trellix a fines de marzo que revel\u00f3 una campa\u00f1a de ataque RedFoxtrot dirigida a los sectores de telecomunicaciones y defensa en el sur de Asia con una nueva variante de malware PlugX llamada Talism\u00e1n<\/a>.<\/p>\n Los TTP de Moshen Dragon implican el abuso de software antivirus leg\u00edtimo perteneciente a BitDefender, Kaspersky, McAfee, Symantec y Trend Micro para descargar ShadowPad y Talisman en sistemas comprometidos por medio de una t\u00e9cnica llamada Secuestro de orden de b\u00fasqueda de DLL<\/a>.<\/p>\n En el paso siguiente, la DLL secuestrada se usa para descifrar y cargar la carga \u00fatil final de ShadowPad o PlugX que reside en la misma carpeta que el ejecutable del antivirus. La persistencia se logra creando una tarea programada o un servicio.<\/p>\n A pesar del secuestro de productos de seguridad, otras t\u00e1cticas adoptadas por el grupo incluyen el uso de herramientas de pirater\u00eda conocidas y scripts de equipo rojo para facilitar el robo de credenciales, el movimiento lateral y la filtraci\u00f3n de datos. El vector de acceso inicial a\u00fan no est\u00e1 claro.<\/p>\n “Una vez que los atacantes han establecido un punto de apoyo en una organizaci\u00f3n, proceden con un movimiento lateral aprovechando Impacket dentro de la red, colocando una puerta trasera pasiva en el entorno de la v\u00edctima, recolectando tantas credenciales como sea posible para asegurar un acceso ilimitado y centr\u00e1ndose en la exfiltraci\u00f3n de datos, “, dijo Chen.<\/p>\n <\/p>\n<\/div>\n![\"piratas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651574005_320_Piratas-informaticos-chinos-atrapados-explotando-productos-antivirus-populares-para-apuntar.jpg\" "\\"piratas")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n