Home Ciberguerra Microsoft incauta sitios utilizados por ciberdelincuentes estatales chinos de APT15

Microsoft incauta sitios utilizados por ciberdelincuentes estatales chinos de APT15

Microsoft ha incautado decenas de sitios maliciosos utilizados por el grupo de hackers Nickel, con sede en China, para atacar a organizaciones de Estados Unidos y otros 28 países de todo el mundo.

En sus ataques, el actor de la amenaza Nickel (también rastreado como KE3CHANG, APT15, Vixen Panda, Royal APT y Playful Dragon) comprometió los servidores de organizaciones gubernamentales, entidades diplomáticas y organizaciones no gubernamentales (ONG) a través de 29 países, principalmente de Europa y América Latina.

“Nickel se ha dirigido a organizaciones tanto del sector privado como del público, incluyendo organizaciones diplomáticas y ministerios de asuntos exteriores en Norteamérica, Centroamérica, Sudamérica, el Caribe, Europa y África”, dijo Tom Burt, Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft.

Microsoft pudo derribar la infraestructura de Nickel después de que el Tribunal de Distrito de EE.UU. para el Distrito Este de Virginia concediera una orden a raíz de una denuncia presentada el 2 de diciembre (la lista de dominios incautados está disponible aquí).

Según la orden del tribunal (que también contiene la lista de sitios incautados), los dominios fueron redirigidos “a servidores seguros cambiando los servidores de nombres autoritativos a NS104a.microsoftintemetsafety.net y NS104b.microsoftintemetsafety.net”.

La Unidad de Crímenes Digitales (DCU) de Microsoft detectó por primera vez el grupo de amenazas detrás de estos dominios maliciosos en 2016. Mandiant los rastrea como Ke3chang y dice que han estado activos desde al menos 2010.

Desde 2019, fue observado apuntando a entidades gubernamentales en toda América Latina y Europa por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y la Unidad de Seguridad Digital (DSU).

El objetivo final de Nickel es desplegar malware en servidores comprometidos que permite a sus operadores monitorear la actividad de sus víctimas, así como recolectar datos y exfiltrarlos a servidores bajo su control.

Estos piratas informáticos respaldados por China utilizan proveedores de VPN (red privada virtual) de terceros comprometidos, credenciales robadas en campañas de spear-phishing y exploits dirigidos a servidores Exchange Server y SharePoint locales sin parches para hackear las redes de sus objetivos.