Un par de informes de empresas de ciberseguridad. SEKOIA<\/a> y Tendencia Micro<\/a> arroja luz sobre una nueva campa\u00f1a realizada por un actor de amenazas chino llamado Rat\u00f3n de la suerte<\/b> eso implica aprovechar una versi\u00f3n troyana de una aplicaci\u00f3n de mensajer\u00eda multiplataforma para sistemas de puerta trasera.<\/p>\n Las cadenas de infecci\u00f3n aprovechan una aplicaci\u00f3n de chat llamada MiMi, con sus archivos de instalaci\u00f3n comprometidos para descargar e instalar muestras de HyperBro para el sistema operativo Windows y artefactos rshell para Linux y macOS.<\/p>\n Hasta 13 entidades diferentes ubicadas en Taiw\u00e1n y Filipinas han estado en el extremo receptor de los ataques, ocho de las cuales han sido alcanzadas con rshell. La primera v\u00edctima de rshell se inform\u00f3 a mediados de julio de 2021.<\/p>\n Rat\u00f3n de la Suerte, tambi\u00e9n llamado APT27<\/a>Bronze Union, Emissary Panda y Iron Tiger, se sabe que est\u00e1 activo desde 2013 y tiene un historial de obtener acceso a redes espec\u00edficas en la b\u00fasqueda de sus objetivos pol\u00edticos y militares de recopilaci\u00f3n de inteligencia alineados con China.<\/p>\n El actor de amenazas persistentes avanzado (APT) tambi\u00e9n es experto en filtrar informaci\u00f3n de alto valor utilizando una amplia gama de implantes personalizados como SysUpdate, hiperbro<\/a>y PlugX.<\/p>\n El \u00faltimo desarrollo es significativo, sobre todo porque marca el intento introductorio del actor de amenazas de apuntar a macOS junto con Windows y Linux.<\/p>\n La campa\u00f1a tiene todas las caracter\u00edsticas de una ataque a la cadena de suministro<\/a> en el sentido de que los servidores backend que alojan los instaladores de aplicaciones de MiMi est\u00e1n controlados por Lucky Mouse, lo que permite modificar la aplicaci\u00f3n para recuperar las puertas traseras de un servidor remoto.<\/p>\n Esto se confirma por el hecho de que la versi\u00f3n 2.3.0 de macOS de la aplicaci\u00f3n fue manipulada para insertar el c\u00f3digo JavaScript malicioso el 26 de mayo de 2022. Si bien esta puede haber sido la primera variante de macOS comprometida, las versiones 2.2.0 y 2.2.1 creadas para Se ha descubierto que Windows incorpora adiciones similares desde el 23 de noviembre de 2021.<\/p>\n rshell, por su parte, es una puerta trasera est\u00e1ndar que viene con todas las campanas y silbatos habituales, lo que permite la ejecuci\u00f3n de comandos arbitrarios recibidos de un servidor de comando y control (C2) y transmite los resultados de la ejecuci\u00f3n a el servidor.<\/p>\n No est\u00e1 claro de inmediato si MiMi es un programa de chat leg\u00edtimo o si fue “dise\u00f1ado o reutilizado como una herramienta de vigilancia”, aunque la aplicaci\u00f3n ha sido utilizada por otro actor de habla china apodado Tierra Berberoka<\/a> (tambi\u00e9n conocido como GamblingPuppet) dirigido a sitios de apuestas en l\u00ednea, una vez m\u00e1s indicativo del uso compartido de herramientas predominante entre los grupos APT chinos.<\/p>\n Las conexiones de la operaci\u00f3n con Lucky Mouse se derivan de enlaces a la infraestructura previamente identificada como utilizada por el conjunto de intrusi\u00f3n China-nexus y el despliegue de HyperBro, una puerta trasera utilizada exclusivamente por el grupo de piratas inform\u00e1ticos.<\/p>\n Como se\u00f1ala SEKOIA, esta no es la primera vez que el adversario recurre a utilizar una aplicaci\u00f3n de mensajer\u00eda como punto de partida en sus ataques. A fines de 2020, ESET revel\u00f3 que se abus\u00f3 de un popular software de chat llamado Able Desktop para entregar HyperBro, PlugX y un troyano de acceso remoto llamado Tmanger dirigido a Mongolia.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Aplicaci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660405471_156_Los-piratas-informaticos-chinos-crearon-una-puerta-trasera-en-la.jpg\" "\\"Aplicaci\u00f3n")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n