Home Ciberguerra El equipo chino, Aoqin Dragon, lleva una década espiando a diferentes organizaciones

El equipo chino, Aoqin Dragon, lleva una década espiando a diferentes organizaciones

Un actor de la amenaza en idioma chino fue descubierto por los analistas de amenazas SentinelLabs, quienes pudieron vincularlo con la actividad maliciosa que se desarrollaba en 2013. El grupo de piratas informáticos llamado Aoqin Dragon se dedica al ciberespionaje y tiene como objetivo organizaciones gubernamentales, educativas y de telecomunicaciones, con sede en Singapur, Hong Kong, Vietnam, Camboya y Australia.

Las técnicas de los actores de amenazas han evolucionado a lo largo de los años, pero ciertas tácticas y conceptos permanecen inalterados.

El grupo Aoqin Dragon ha utilizado tres cadenas de infección distintas desde que fue identificado por primera vez, según SentinelLabs. La más antigua, utilizada entre 2012 y 2015, implica documentos de Microsoft Office que explotan vulnerabilidades conocidas como CVE-2012-0158 y CVE-2010-3333.

Esta táctica fue identificada por FireEye en 2014 en una campaña de spear-phishing coordinada por el grupo Naikon APT, respaldado por China, dirigida a una entidad gubernamental de APAC y a un think tank estadounidense.

El segundo método de infección consiste en cubrir los ejecutables maliciosos con falsos iconos antivirus, engañar a los usuarios para que los inicien y activar un gotero de malware en sus dispositivos.

Desde 2018 hasta ahora, Aoqin Dragon ha cambiado al uso de un archivo de acceso directo de disco extraíble que, al hacer clic, realiza el secuestro de DLL y carga una carga útil de puerta trasera cifrada.

El malware se ejecuta bajo el nombre de “Evernote Tray Application” y se ejecuta durante el inicio del sistema. Si el cargador detecta dispositivos extraíbles, también copia la carga útil para infectar otros dispositivos de la red de destino.

SentinelLabs identificó dos backdoors diferentes utilizados por este grupo de amenazas en particular, Mongall y una versión modificada de Heyoka. Ambos son DLL que se inyectan en la memoria, se descifran y se ejecutan.

Aoqin Dragon se las arregló para permanecer en las sombras durante una década, con sólo partes de su funcionalidad que aparecen en los informes más antiguos [PDF] de las empresas de ciberseguridad.

El grupo lo consiguió evolucionando constantemente sus técnicas y cambiando de táctica, algo que probablemente volverá a ocurrir después de la exposición que recibió tras el informe de SentinelLabs.

Teniendo en cuenta que sus actividades están alineadas con los intereses políticos del gobierno chino, es casi seguro que Aoqin Dragon continuará con sus operaciones de ciberespionaje, mejorando su detección evasiva y cambiando a nuevas tácticas de evasión fiscal.