Las organizaciones japonesas son el objetivo de un actor de amenazas de un estado nacional chino que aprovecha familias de malware como LODEINFO y NOOPDOOR para recopilar informaci\u00f3n confidencial de hosts comprometidos mientras permanece sigilosamente bajo el radar en algunos casos durante un per\u00edodo de tiempo que va de dos a tres a\u00f1os.<\/p>\n
La empresa israel\u00ed de ciberseguridad Cybereason est\u00e1 rastreando la campa\u00f1a bajo el nombre Lanza de cuco<\/strong>atribuy\u00e9ndolo a un conjunto de intrusiones conocido denominado APT10, que tambi\u00e9n se conoce como Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (anteriormente Potassium) y Stone Panda.<\/p>\n “Los actores detr\u00e1s de NOOPDOOR no solo utilizaron LODEINFO durante la campa\u00f1a, sino que tambi\u00e9n utilizaron la nueva puerta trasera para exfiltrar datos de las redes empresariales comprometidas”, dicho<\/a>.<\/p>\n Los hallazgos llegan semanas despu\u00e9s de que JPCERT\/CC prevenido<\/a> de ataques cibern\u00e9ticos montados por el actor de amenazas dirigidos a entidades japonesas utilizando las dos cepas de malware.<\/p>\n A principios de enero, ITOCHU Cyber \u200b\u200b& Intelligence revel\u00f3 que hab\u00eda descubierto una versi\u00f3n actualizada de la puerta trasera LODEINFO que incorpora t\u00e9cnicas antian\u00e1lisis, destacando el uso de correos electr\u00f3nicos de phishing para propagar el malware.<\/p>\n Trend Micro, que originalmente acu\u00f1\u00f3 el t\u00e9rmino MenuPass para describir al actor de amenazas, ha caracterizada<\/a> APT10 es un grupo paraguas que comprende dos grupos llamados Earth Tengshe y Earth Kasha. Se sabe que el grupo de piratas inform\u00e1ticos est\u00e1 operativo al menos desde 2006.<\/p>\n Mientras que Earth Tengshe est\u00e1 vinculado a campa\u00f1as que distribuyen SigLoader y SodaMaster, a Earth Kasha se le atribuye el uso exclusivo de LODEINFO y NOOPDOOR. Se ha observado que ambos subgrupos atacan aplicaciones p\u00fablicas con el objetivo de extraer datos e informaci\u00f3n de la red.<\/p>\n Tambi\u00e9n se dice que la Tierra Tengshe es relacionado<\/a> a otro grupo cuyo nombre en c\u00f3digo es Bronze Starlight (tambi\u00e9n conocido como Emperor Dragonfly o Storm-0401), que tiene antecedentes de operar familias de ransomware de corta duraci\u00f3n como LockFile, Atom Silo, Rook, Night Sky, Pandora y Cheerscrypt.<\/p>\n Por otra parte, se ha descubierto que Earth Kasha cambia sus m\u00e9todos de acceso iniciales explotando aplicaciones p\u00fablicas desde abril de 2023, aprovechando fallas sin parchear en Array AG (CVE-2023-28461<\/a>), Fortinet (CVE-2023-27997<\/a>) y Proself (CVE-2023-45727<\/a>) instancias para distribuir LODEINFO y NOOPDOOR (tambi\u00e9n conocido como Cara oculta<\/a>).<\/p>\n LODEINFO incluye varios comandos para ejecutar c\u00f3digo shell arbitrario, registrar pulsaciones de teclas, tomar capturas de pantalla, finalizar procesos y exfiltrar archivos a un servidor controlado por el actor. NOOPDOOR, que comparte similitudes de c\u00f3digo con otra puerta trasera APT10 conocida como ANEL Loader, cuenta con funcionalidad para cargar y descargar archivos, ejecutar c\u00f3digo shell y ejecutar m\u00e1s programas.<\/p>\n “LODEINFO parece utilizarse como puerta trasera principal y NOOPDOOR act\u00faa como puerta trasera secundaria, manteniendo la persistencia dentro de la red corporativa comprometida durante m\u00e1s de dos a\u00f1os”, afirm\u00f3 Cybereason. “Los actores de amenazas mantienen la persistencia dentro del entorno abusando de las tareas programadas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Hackers-chinos-atacan-empresas-japonesas-con-malware-LODEINFO-y-NOOPDOOR.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n<\/a><\/div>\n