{"id":757504,"date":"2023-05-16T16:08:35","date_gmt":"2023-05-16T16:08:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-mustang-panda-de-china-aprovechan-los-enrutadores-tp-link-para-ataques-persistentes\/"},"modified":"2023-05-16T16:08:38","modified_gmt":"2023-05-16T16:08:38","slug":"los-piratas-informaticos-de-mustang-panda-de-china-aprovechan-los-enrutadores-tp-link-para-ataques-persistentes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-mustang-panda-de-china-aprovechan-los-enrutadores-tp-link-para-ataques-persistentes\/","title":{"rendered":"Los piratas inform\u00e1ticos de Mustang Panda de China aprovechan los enrutadores TP-Link para ataques persistentes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de red \/ Amenaza Intel<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El actor del estado-naci\u00f3n chino conocido como panda mustang<\/strong> se ha relacionado con un nuevo conjunto de ataques sofisticados y dirigidos contra entidades europeas de asuntos exteriores desde enero de 2023.<\/p>\n

Un an\u00e1lisis de estas intrusiones, seg\u00fan los investigadores de Check Point, Itay Cohen y Radoslaw Madej, revel\u00f3 un implante de firmware personalizado dise\u00f1ado expl\u00edcitamente para los enrutadores TP-Link.<\/p>\n

“El implante presenta varios componentes maliciosos, incluida una puerta trasera personalizada llamada ‘Caparaz\u00f3n de caballo’ que permite a los atacantes mantener un acceso persistente, construir una infraestructura an\u00f3nima y permitir el movimiento lateral hacia redes comprometidas”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n

“Debido a su dise\u00f1o independiente del firmware, los componentes del implante se pueden integrar en varios firmware de diferentes proveedores”.<\/p>\n

\"La<\/a><\/center><\/div>\n

La firma de ciberseguridad israel\u00ed est\u00e1 rastreando al grupo de amenazas bajo el nombre de Camaro Dragon, que tambi\u00e9n se conoce como BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich.<\/p>\n

Actualmente se desconoce el m\u00e9todo exacto utilizado para implementar las im\u00e1genes de firmware manipuladas en los enrutadores infectados, al igual que su uso y participaci\u00f3n en ataques reales. Se sospecha que el acceso inicial se pudo haber obtenido mediante la explotaci\u00f3n de fallas de seguridad conocidas o dispositivos de fuerza bruta con contrase\u00f1as predeterminadas o f\u00e1ciles de adivinar.<\/p>\n

Lo que se sabe es que el implante Horse Shell basado en C++ brinda a los atacantes la capacidad de ejecutar comandos de shell arbitrarios, cargar y descargar archivos hacia y desde el enrutador y retransmitir la comunicaci\u00f3n entre dos clientes diferentes.<\/p>\n

\"Explotar<\/div>\n

Pero en un giro interesante, se cree que la puerta trasera del enrutador apunta a dispositivos arbitrarios en redes residenciales y dom\u00e9sticas, lo que sugiere que los enrutadores comprometidos est\u00e1n siendo cooptados en una red de malla con el objetivo de crear una “cadena de nodos entre infecciones principales y reales”. comando y control.”<\/p>\n

Al retransmitir comunicaciones entre enrutadores infectados mediante el uso de un t\u00fanel SOCKS, la idea es introducir una capa adicional de anonimato y ocultar el servidor final, ya que cada nodo de la cadena contiene informaci\u00f3n solo sobre los nodos que lo preceden y lo suceden.<\/p>\n

Dicho de otra manera, los m\u00e9todos oscurecen el origen y el destino del tr\u00e1fico de manera an\u00e1loga a TOR, lo que hace que sea mucho m\u00e1s dif\u00edcil detectar el alcance del ataque e interrumpirlo.<\/p>\n

“Si un nodo de la cadena se ve comprometido o eliminado, el atacante a\u00fan puede mantener la comunicaci\u00f3n con el C2 enrutando el tr\u00e1fico a trav\u00e9s de un nodo diferente en la cadena”, explicaron los investigadores.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

Dicho esto, esta no es la primera vez que los actores de amenazas afiliados a China conf\u00edan en una red de enrutadores comprometidos para cumplir con sus objetivos estrat\u00e9gicos.<\/p>\n

En 2021, la Agencia Nacional de Ciberseguridad de Francia (ANSSI) detall\u00f3 un conjunto de intrusiones orquestado por APT31 (tambi\u00e9n conocido como Judgment Panda o Violet Typhoon) que aprovech\u00f3 una pieza de malware avanzado conocido como Pakdoor (o SoWat) para permitir que los enrutadores infectados se comuniquen entre s\u00ed. otro.<\/p>\n

“El descubrimiento es otro ejemplo m\u00e1s de una tendencia de larga data de los actores de amenazas chinos para explotar los dispositivos de red conectados a Internet y modificar su software o firmware subyacente”, dijeron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n