Home Ciberguerra Salen a la luz más detalles sobre los esfuerzos de hackeo generalizados...

Salen a la luz más detalles sobre los esfuerzos de hackeo generalizados de China relacionados con Ucrania

Están surgiendo más detalles sobre las actividades de un prolífico grupo de piratas informáticos del gobierno chino y cómo ha utilizado la invasión de Rusia en Ucrania como parte de sus esfuerzos continuos para infiltrarse en una diversa gama de redes de destino en tres continentes en busca de espionaje y robo de información.

Mustang Panda -también conocido como Bronze President, HoneyMyte o RedDelta- se ha dirigido a entidades europeas y rusas utilizando señuelos de phishing de actualidad que coinciden aproximadamente con el inicio de la guerra rusa para distribuir malware. Se ha informado de parte de la actividad, pero los investigadores del Grupo de Inteligencia Talos de Cisco detallaron el jueves muestras de archivos, dominios de sitios web y direcciones IP asociadas a las campañas de gran alcance de las que no se había informado anteriormente.

“Mustang Panda es un grupo APT muy motivado que se basa principalmente en el uso de señuelos tópicos e ingeniería social para engañar a las víctimas para que se infecten”.

El papel de los esfuerzos de hacking chinos en relación con la invasión de Rusia ha sido observado de cerca, pero hasta ahora no se ha informado públicamente de que la alianza política abierta del país con Rusia se refleje en sus esfuerzos cibernéticos. En cambio, las actividades de piratería china han seguido los patrones tradicionales de establecer una persistencia a largo plazo en las redes objetivo para promover los objetivos de espionaje y robo de información.

A principios de marzo, investigadores de ciberseguridad del Grupo de Análisis de Amenazas de Google y de Proofpoint detallaron las campañas de Mustang Panda dirigidas a entidades diplomáticas europeas con señuelos de phishing tópicos, en particular con respecto a los servicios de refugiados y migrantes.

La semana pasada, la Unidad de Contra-Amenaza de Secureworks publicó sus conclusiones sobre el uso por parte del grupo, a principios de marzo, de un documento señuelo en inglés con un título en ruso en el que se hablaba de las presiones de los refugiados y los migrantes sobre Bielorrusia para entregar su conocida variante de malware PlugX. Esa campaña tenía como objetivo una unidad de guardia fronteriza en una ciudad del este de Rusia a lo largo de la frontera con China.

El informe del jueves de Talos habla del mismo documento señuelo, pero señala que a finales de marzo, Mustang Panda actualizó sus tácticas para reducir las URL remotas utilizadas para alojar y desplegar las distintas partes del malware. Los investigadores encontraron ejemplos de este comportamiento en dos archivos con título en inglés relacionados con la guerra de Ucrania y dirigidos a objetivos no identificados.

La investigación también detalla un señuelo de phishing de temática ucraniana no revelado anteriormente, con un título diseñado para que parezca una declaración oficial del Consejo de Seguridad Nacional y Defensa de Ucrania. El malware, enviado a objetivos no identificados a finales de febrero, pretendía establecer un shell inverso, que permitiría a los atacantes desplegar más ataques.