Al menos dos institutos de investigaci\u00f3n ubicados en Rusia y un tercer objetivo probable en Bielorrusia han sido objeto de un ataque de espionaje por parte de una amenaza persistente avanzada (APT) del estado-naci\u00f3n chino.<\/p>\n
Los ataques, con nombre en c\u00f3digo “Panda retorcido<\/strong>vienen en el contexto de la invasi\u00f3n militar rusa de Ucrania, lo que llev\u00f3 a una amplia gama de actores de amenazas a adaptar r\u00e1pidamente sus campa\u00f1as en el conflicto en curso para distribuir malware y organizar ataques oportunistas.<\/p>\n Se han materializado en forma de esquemas de ingenier\u00eda social con cebos tem\u00e1ticos de guerra y sanciones orquestados para enga\u00f1ar a las v\u00edctimas potenciales para que hagan clic en enlaces maliciosos o abran documentos armados.<\/p>\n La empresa israel\u00ed de ciberseguridad Check Point, que revelado<\/a> Los detalles de la \u00faltima operaci\u00f3n de recopilaci\u00f3n de inteligencia, lo atribuyeron a un actor de amenazas chino, con conexiones con Stone Panda (tambi\u00e9n conocido como APT 10, Cicada o Potassium) y Mustang Panda (tambi\u00e9n conocido como Bronze President, HoneyMyte o RedDelta).<\/p>\n Llam\u00e1ndolo una continuaci\u00f3n de “una operaci\u00f3n de espionaje de larga duraci\u00f3n contra entidades relacionadas con Rusia que ha estado en funcionamiento desde al menos junio de 2021”, se dice que los rastros m\u00e1s recientes de la actividad se observaron en abril de 2022.<\/p>\n Los objetivos inclu\u00edan dos instituciones de investigaci\u00f3n de defensa pertenecientes al conglomerado de defensa estatal ruso Rostec Corporation y una entidad desconocida ubicada en la ciudad bielorrusa de Minsk.<\/p>\n Los ataques de phishing comenzaron con correos electr\u00f3nicos que contienen un enlace que se hace pasar por el Ministerio de Salud de Rusia, pero en realidad es un dominio controlado por el atacante, as\u00ed como un documento de Microsoft Word se\u00f1uelo dise\u00f1ado para desencadenar la infecci\u00f3n y descargar un cargador.<\/p>\n La DLL de 32 bits (“cmpbk32.dll”), adem\u00e1s de establecer la persistencia mediante una tarea programada, tambi\u00e9n se encarga de ejecutar un cargador multicapa de segunda etapa, que posteriormente se desempaqueta para ejecutar el payload final en memoria.<\/p>\n La carga \u00fatil inyectada, una puerta trasera previamente no documentada llamada Spinner, utiliza t\u00e9cnicas sofisticadas como aplanamiento del flujo de control<\/a> para ocultar el flujo del programa, previamente identificado como puesto en uso por ambos Panda de piedra<\/a> y Mustang Panda en sus ataques.<\/p>\n “Estas herramientas est\u00e1n en desarrollo desde al menos marzo de 2021 y utilizan t\u00e9cnicas avanzadas de evasi\u00f3n y antian\u00e1lisis, como cargadores en memoria de m\u00faltiples capas y ofuscaciones a nivel de compilador”, dijo Check Point.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1653293069_285_Chino-quotPanda-retorcidoquot-Hackers-atrapados-espiando-a-los-institutos-de.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n