Home Ciberguerra Ciberdelicuentes chinos se infiltran en redes diplomáticas sudamericanas

Ciberdelicuentes chinos se infiltran en redes diplomáticas sudamericanas

El actor de amenazas patrocinado por el estado chino, DEV-0147, ha sido descubierto atacando entidades diplomáticas en Sudamérica con el troyano de acceso remoto (RAT) ShadowPad, también conocido como PoisonPlug.

Microsoft compartió los hallazgos en Twitter el lunes, diciendo que la nueva campaña del actor de amenazas representa una notable expansión de las operaciones de exfiltración de datos del grupo, que anteriormente se dirigían a agencias gubernamentales y grupos de reflexión en Asia y Europa.

Desde un punto de vista técnico, el gigante tecnológico dijo que observó a DEV-0147 desplegar ShadowPad, una RAT asociada con otros actores con sede en China, para lograr persistencia, y QuasarLoader, un cargador webpack, para descargar y ejecutar malware adicional.

Según los investigadores de seguridad de Secureworks, ShadowPad ha evolucionado a partir del malware PlugX. Es empleado con frecuencia por grupos de adversarios chinos relacionados con el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (EPL).

“Las pruebas disponibles hasta el momento de esta publicación sugieren que ShadowPad ha sido desplegado por grupos de amenazas afiliados al MSS, así como por grupos de amenazas afiliados al EPL que operan en nombre de los comandos de teatro regionales”, reza un aviso de Secureworks de febrero de 2022.

“El malware probablemente fue desarrollado por actores de amenazas afiliados a BRONZE ATLAS y luego compartido con grupos de amenazas MSS y PLA alrededor de 2019. Dada la gama de grupos que aprovechan ShadowPad, todas las organizaciones que son objetivos probables de los grupos de amenazas chinos deben monitorear las [tácticas, técnicas y procedimientos] TTP asociadas con este malware”.