Los servicios de inteligencia nacionales alemanes BfV (abreviatura de Bundesamt für Verfassungsschutz) advierten de los ataques en curso coordinados por el grupo de hackers APT27 respaldado por China.
Esta campaña activa está dirigida a organizaciones comerciales alemanas, y los atacantes utilizan el troyano de acceso remoto (RAT) HyperBro para abrir puertas traseras en sus redes.
HyperBro ayuda a los actores de la amenaza a mantener la persistencia en las redes de las víctimas actuando como una puerta trasera en memoria con capacidades de administración remota.
La agencia dijo que el objetivo del grupo de amenazas es robar información sensible y también puede intentar dirigirse a los clientes de sus víctimas en ataques a la cadena de suministro.
El BfV también ha publicado indicadores de compromiso (IOC) y reglas YARA para ayudar a las organizaciones alemanas destinatarias a comprobar las infecciones de HyperBro y las conexiones con los servidores de mando y control (C2) de APT27.
La agencia de inteligencia alemana afirma que APT27 ha estado explotando fallos en el software Zoho AdSelf Service Plus, una solución de gestión de contraseñas empresariales para Active Directory y aplicaciones en la nube, desde marzo de 2021.
En estos ataques, lograron comprometer al menos nueve organizaciones de sectores críticos de todo el mundo, como defensa, sanidad, energía, tecnología y educación, según los investigadores de Palo Alto Networks.
A la luz de estas campañas, el FBI y el CISA publicaron avisos conjuntos, en los que se advertía de la existencia de actores APT que explotaban los fallos de ManageEngine para lanzar web shells en las redes de las organizaciones de infraestructuras críticas vulneradas.
APT27 y otros grupos de piratas informáticos respaldados por China también fueron vinculados a ataques que explotaban fallos críticos de ProxyLogon a principios de marzo de 2021, lo que les permitió tomar el control y robar datos de servidores de Microsoft Exchange sin parches en todo el mundo.
Estados Unidos y sus aliados (la Unión Europea, el Reino Unido y la OTAN) culparon oficialmente a China en junio de la amplia campaña de piratería de Microsoft Exchange, en 2021.