Un actor de amenazas persistentes avanzadas (APT) de habla china “extremadamente sofisticado” apodado luoyu<\/strong> se ha observado utilizando una herramienta maliciosa de Windows llamada WinDealer que se entrega mediante ataques de tipo man-on-the-side.<\/p>\n “Este innovador desarrollo permite al actor modificar el tr\u00e1fico de la red en tr\u00e1nsito para insertar cargas \u00fatiles maliciosas”, dijo la empresa rusa de ciberseguridad Kaspersky. dijo<\/a> en un nuevo informe. “Tales ataques son especialmente peligrosos y devastadores porque no requieren ninguna interacci\u00f3n con el objetivo para llevar a una infecci\u00f3n exitosa”.<\/p>\n Conocidas por estar activas desde 2008, las organizaciones a las que apunta LuoYu son predominantemente organizaciones diplom\u00e1ticas extranjeras establecidas en China y miembros de la comunidad acad\u00e9mica, as\u00ed como empresas financieras, de defensa, log\u00edstica y telecomunicaciones.<\/p>\n El uso de LuoYu de WinDealer<\/a> fue documentado por primera vez por la firma de ciberseguridad taiwanesa EquipoT5<\/a> en la Conferencia de Analistas de Seguridad de Jap\u00f3n (JSAC) en enero de 2021. campa\u00f1as de ataque<\/a> han utilizado el malware para apuntar a entidades japonesas, con infecciones aisladas reportadas en Austria, Alemania, India, Rusia y los EE. UU.<\/p>\n Otras herramientas que forman parte del arsenal de malware del adversario incluyen PlugX y su sucesor ShadowPad, los cuales han sido utilizados por una variedad de actores de amenazas chinos para permitir sus objetivos estrat\u00e9gicos. Adem\u00e1s, se sabe que el actor apunta a dispositivos Linux, macOS y Android.<\/p>\n WinDealer, por su parte, se ha entregado en el pasado a trav\u00e9s de sitios web que act\u00faan como abrevaderos<\/a> y en forma de aplicaciones troyanizadas que se hacen pasar por servicios de alojamiento de video y mensajer\u00eda instant\u00e1nea como Tencent QQ y Youku.<\/p>\n Pero desde entonces, el vector de infecci\u00f3n se cambi\u00f3 por otro m\u00e9todo de distribuci\u00f3n que hace uso del mecanismo de actualizaci\u00f3n autom\u00e1tica de aplicaciones leg\u00edtimas seleccionadas para servir una versi\u00f3n comprometida del ejecutable en “pocas ocasiones”.<\/p>\n WinDealer, una plataforma de malware modular en esencia, viene con todas las caracter\u00edsticas habituales asociadas con una puerta trasera tradicional, lo que le permite aspirar informaci\u00f3n confidencial, capturar capturas de pantalla y ejecutar comandos arbitrarios.<\/p>\n Pero donde tambi\u00e9n se destaca es el uso de un complejo algoritmo de generaci\u00f3n de IP para seleccionar un servidor de comando y control (C2) para conectarse al azar de un grupo de 48,000 direcciones IP.<\/p>\n “La \u00fanica forma de explicar estos comportamientos de red aparentemente imposibles es asumir la existencia de un atacante que puede interceptar todo el tr\u00e1fico de la red e incluso modificarlo si es necesario”, dijo la compa\u00f1\u00eda.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/La-operacion-del-ransomware-Conti-se-cierra-despues-de-dividirse.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654283027_312_Piratas-informaticos-chinos-de-LuoYu-utilizan-ataques-de-tipo-Man-on-the-Side.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n