Un grupo de actividad de amenazas patrocinado por el estado chino rastreado como rojogolf<\/strong> ha sido atribuido<\/a> al uso de una puerta trasera personalizada de Windows y Linux llamada KEYPLUG.<\/p>\n “RedGolf es un grupo de actores de amenazas patrocinado por el estado chino particularmente prol\u00edfico que probablemente ha estado activo durante muchos a\u00f1os contra una amplia gama de industrias a nivel mundial”, dijo Recorded Future a The Hacker News.<\/p>\n “El grupo ha demostrado la capacidad de armar r\u00e1pidamente vulnerabilidades recientemente reportadas<\/a> (por ejemplo, Log4Shell y ProxyLogon) y tiene un historial de desarrollo y uso de una amplia gama de familias de malware personalizadas”.<\/p>\n El uso de KEYPLUG por parte de actores de amenazas chinos fue revelado por primera vez por Manidant, propiedad de Google, en marzo de 2022 en ataques dirigidos a m\u00faltiples redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022.<\/p>\n Luego, en octubre de 2022, Malwarebytes detall\u00f3 un conjunto separado de ataques dirigidos a entidades gubernamentales en Sri Lanka a principios de agosto que aprovecharon un implante novedoso denominado DBoxAgent para implementar KEYPLUG.<\/p>\n Ambas campa\u00f1as se atribuyeron a Winnti (alias APT41<\/a>Bario, Atlas de bronce o Panda malvado), que Recorded Future dijo que “se superpone estrechamente” con RedGolf.<\/p>\n “No hemos observado victimolog\u00eda espec\u00edfica como parte de la \u00faltima actividad destacada de RedGolf”, dijo Recorded Future. “Sin embargo, creemos que es probable que esta actividad se lleve a cabo con fines de inteligencia en lugar de obtener ganancias financieras debido a las superposiciones con campa\u00f1as de ciberespionaje informadas anteriormente”.<\/p>\n La firma de ciberseguridad, adem\u00e1s de detectar un grupo de muestras de KEYPLUG e infraestructura operativa (nombre en c\u00f3digo GhostWolf) utilizada por el grupo de pirater\u00eda desde al menos 2021 a 2023, not\u00f3 el uso de otras herramientas como Cobalt Strike y PlugX.<\/p>\n La infraestructura de GhostWolf, por su parte, consta de 42 direcciones IP que funcionan como comando y control de KEYPLUG. Tambi\u00e9n se ha observado que el colectivo adversario utiliza una combinaci\u00f3n de dominios registrados tradicionalmente y dominios DNS din\u00e1micos, que a menudo presentan un tema tecnol\u00f3gico, para actuar como puntos de comunicaci\u00f3n para Cobalt Strike y PlugX.<\/p>\n \u201cRedGolf continuar\u00e1 demostrando un alto ritmo operativo y armar\u00e1 r\u00e1pidamente las vulnerabilidades en los dispositivos corporativos externos (VPN, firewalls, servidores de correo, etc.) para obtener acceso inicial a las redes de destino\u201d, dijo la compa\u00f1\u00eda.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n “Adem\u00e1s, es probable que el grupo contin\u00fae adoptando nuevas familias de malware personalizadas para agregar a las herramientas existentes, como KEYPLUG”.<\/p>\n Para defenderse de los ataques de RedGolf, se recomienda a las organizaciones que apliquen parches peri\u00f3dicamente, controlen el acceso a dispositivos de red externos, rastreen y bloqueen la infraestructura de comando y control identificada y configuren sistemas de prevenci\u00f3n o detecci\u00f3n de intrusiones para controlar las detecciones de malware.<\/p>\n Los hallazgos se producen cuando Trend Micro revel\u00f3 que descubri\u00f3 m\u00e1s de 200 v\u00edctimas de los ataques de Mustang Panda (tambi\u00e9n conocido como Earth Preta) como parte de un esfuerzo de espionaje cibern\u00e9tico de gran alcance orquestado por varios subgrupos asociados con el actor de amenazas desde 2022.<\/p>\n La mayor\u00eda de los ataques cibern\u00e9ticos se han detectado en Asia, seguida de \u00c1frica, Europa, Medio Oriente, Ocean\u00eda, Am\u00e9rica del Norte y Am\u00e9rica del Sur.<\/p>\n “Hay fuertes indicios de intercambio de inteligencia tradicional entrelazada y esfuerzos de recopilaci\u00f3n cibern\u00e9tica, indicativos de una operaci\u00f3n de espionaje cibern\u00e9tico altamente coordinada y sofisticada”, Trend Micro dicho<\/a>.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/El-grupo-chino-RedGolf-apunta-a-los-sistemas-Windows-y.png\")
<\/div>\n