Home Ciberguerra Piratas informáticos de APT de China, atacan a instituciones gubernamentales del sudeste...

Piratas informáticos de APT de China, atacan a instituciones gubernamentales del sudeste de Asia

Investigadores de ciberseguridad han desvelado un complejo y específico ataque de espionaje contra posibles víctimas del sector gubernamental en el sudeste asiático que, según creen, ha sido llevado a cabo por un sofisticado grupo chino de APT, al menos, desde 2018.

“El ataque tiene un complejo y completo arsenal de goteros, puertas traseras y otras herramientas que involucran puertas traseras de Chinoxy, PcShare RAT y binarios de puertas traseras de FunnyDream, con artefactos forenses que apuntan hacia un sofisticado actor chino”, dijo Bitdefender en un nuevo análisis compartido con The Hacker News.

Cabe señalar que la campaña FunnyDream ha estado vinculada anteriormente a entidades gubernamentales de alto perfil en Malasia, Taiwán y Filipinas, y la mayoría de las víctimas se encuentran en Vietnam.

Según los expertos, no sólo unas 200 máquinas exhibieron indicadores de ataque asociados a la campaña, sino que las pruebas apuntan a que el actor de la amenaza puede haber comprometido los controladores de dominio de la red de la víctima, lo que les permite desplazarse lateralmente y obtener potencialmente el control de otros sistemas.

La investigación ha dado pocas o ninguna pista sobre cómo se produjo la infección, aunque se sospecha que los atacantes emplearon señuelos de ingeniería social para engañar a los usuarios involuntarios para que abrieran archivos maliciosos.

Al lograr una posición inicial, se encontró que se desplegaban múltiples herramientas en el sistema infectado, incluyendo la puerta trasera Chinoxy para ganar en persistencia, así como un troyano chino de acceso remoto (RAT) llamado PcShare, una variante modificada de la misma herramienta disponible en GitHub.

La investigación también descubrió el uso de la mencionada puerta trasera FunnyDream a partir de mayo de 2019, que viene con múltiples capacidades para amontonar datos de usuarios, limpiar rastros de despliegue de malware, frustrar la detección y ejecutar comandos maliciosos, cuyos resultados se transmitieron de vuelta a los servidores de mando y control (C&C) situados en Hong Kong, China, Corea del Sur y Vietnam.

Con información de: The Hacker News.