Un presunto actor patrocinado por el estado chino viol\u00f3 una autoridad de certificaci\u00f3n digital, as\u00ed como agencias gubernamentales y de defensa ubicadas en diferentes pa\u00edses de Asia como parte de una campa\u00f1a en curso desde al menos marzo de 2022.<\/p>\n
Symantec, de Broadcom Software, vincul\u00f3 los ataques a un grupo adversario que rastrea bajo el nombre picudo<\/strong>, citando el uso de herramientas previamente atribuidas a este actor. La actividad parece estar impulsada por el espionaje y el robo de datos, aunque hasta la fecha no se dice que se hayan robado datos.<\/p>\n picudo<\/a>tambi\u00e9n llamado Bronce Elgin, Lotus Blossom, Lotus Panda, Drag\u00f3n Primavera<\/a>y Trip<\/a>, es un grupo de amenaza persistente avanzada (APT) que se cree que opera en nombre de los intereses chinos. Los objetivos principales incluyen organizaciones gubernamentales y militares en el sudeste asi\u00e1tico.<\/p>\n Los ataques montados por el adversario en 2019 involucraron el uso de puertas traseras como Hannotog y Sagerunex<\/a>con las intrusiones observadas en Hong Kong, Macao, Indonesia, Malasia, Filipinas y Vietnam.<\/p>\n Ambos implantes est\u00e1n dise\u00f1ados para otorgar acceso remoto persistente a la red de la v\u00edctima, incluso cuando se sabe que el actor de la amenaza despliega un ladr\u00f3n de informaci\u00f3n conocido como Catchamas en casos seleccionados para exfiltrar informaci\u00f3n confidencial.<\/p>\n “El objetivo de una autoridad de certificaci\u00f3n es notable, ya que si los atacantes pudieran comprometerla con \u00e9xito para acceder a los certificados, podr\u00edan usarlos para firmar malware con un certificado v\u00e1lido y ayudar a evitar la detecci\u00f3n en las m\u00e1quinas de las v\u00edctimas”, investigadores de Symantec. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n “Tambi\u00e9n podr\u00eda potencialmente usar certificados comprometidos para interceptar el tr\u00e1fico HTTPS”.<\/p>\n Sin embargo, la compa\u00f1\u00eda de ciberseguridad se\u00f1al\u00f3 que no hay evidencia que indique que Billbug logr\u00f3 comprometer los certificados digitales. La autoridad correspondiente, dijo, fue notificada de la actividad.<\/p>\n Un an\u00e1lisis de la \u00faltima ola de ataques indica que es probable que el acceso inicial se obtenga a trav\u00e9s de la explotaci\u00f3n de aplicaciones orientadas a Internet, luego de lo cual se emplea una combinaci\u00f3n de herramientas personalizadas y de vida fuera de la tierra para cumplir con sus objetivos operativos.<\/p>\n Esto comprende utilidades como WinRAR, Ping, Traceroute, NBTscan, Certutil, adem\u00e1s de una puerta trasera capaz de descargar archivos arbitrarios, recopilar informaci\u00f3n del sistema y cargar datos encriptados.<\/p>\n Tambi\u00e9n se detect\u00f3 en los ataques una herramienta de proxy multisalto de c\u00f3digo abierto llamada Poliz\u00f3n<\/a> y el malware Sagerunex, que se instala en la m\u00e1quina a trav\u00e9s de Hannotog. La puerta trasera, por su parte, est\u00e1 equipada para ejecutar comandos arbitrarios, soltar cargas \u00fatiles adicionales y desviar archivos de inter\u00e9s.<\/p>\n “La capacidad de este actor para comprometer a m\u00faltiples v\u00edctimas a la vez indica que este grupo de amenazas sigue siendo un operador h\u00e1bil y con buenos recursos que es capaz de llevar a cabo campa\u00f1as sostenidas y de gran alcance”, concluyeron los investigadores.<\/p>\n “Billbug tampoco parece inmutarse por la posibilidad de que se le atribuya esta actividad, con la reutilizaci\u00f3n de herramientas que se han vinculado al grupo en el pasado”.<\/p>\n <\/p>\n<\/div>\n![](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\")
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/center><\/div>\n