Home Ciberguerra Ciberdelincuentes chinos utilizan señuelos de la guerra ruso-ucraniana, para atacar a entidades...

Ciberdelincuentes chinos utilizan señuelos de la guerra ruso-ucraniana, para atacar a entidades de APAC y Europa

El grupo de hacking de estado-nación vinculado a China conocido como Mustang Panda está utilizando señuelos relacionados con la actual guerra ruso-ucraniana para atacar a entidades de Europa y Asia-Pacífico.

Así lo afirma el Equipo de Investigación e Inteligencia de BlackBerry, que analizó un archivo RAR titulado “Political Guidance for the new EU approach towards Russia.rar”. Algunos de los países objetivo son Vietnam, India, Pakistán, Kenia, Turquía, Italia y Brasil.

Mustang Panda es un prolífico grupo de ciberespionaje de China que también es rastreado bajo los nombres de Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich.

Se cree que está activo desde, al menos, julio de 2018, según el perfil de amenazas de Secureworks, aunque hay indicios de que el actor de amenazas ha estado atacando entidades en todo el mundo desde 2012.

Se sabe que Mustang Panda depende en gran medida del envío de archivos adjuntos con armas a través de correos electrónicos de phishing para lograr la infección inicial, con las intrusiones que finalmente conducen al despliegue del troyano de acceso remoto PlugX.

Sin embargo, los recientes ataques de spear-phishing llevados a cabo por el grupo y dirigidos a los sectores gubernamental, educativo y de investigación en la región Asia-Pacífico han incluido malware personalizado como PUBLOAD, TONEINS y TONESHELL, lo que sugiere una ampliación de su arsenal de malware.

Los últimos hallazgos de BlackBerry muestran que el proceso de infección principal se ha mantenido más o menos igual, incluso mientras Mustang Panda sigue utilizando los acontecimientos geopolíticos en su beneficio, haciéndose eco de informes anteriores de Google y Proofpoint.

Dentro del archivo señuelo hay un acceso directo a un archivo de Microsoft Word, que aprovecha la carga lateral de DLL -una técnica que también se empleó en ataques dirigidos a Myanmar a principios de este año- para iniciar la ejecución de PlugX en la memoria, antes de mostrar el contenido del documento.