Un malware diseñado para cargar balizas Cobalt Strike en las máquinas de las víctimas ha sido rastreado hasta actores de amenazas chinos y rusos.
El proveedor de seguridad finlandés WithSecure afirma en un nuevo informe que detectó “SilkLoader” en varias intrusiones operadas por humanos que probablemente fueron el precursor de un ataque de ransomware.
El malware utiliza DLL sideloading para cargar las balizas, que suelen utilizarse en este tipo de ataques como parte de la infraestructura de mando y control (C2), para descargar cargas útiles adicionales en las máquinas objetivo.
Sin embargo, la novedad de este caso radica en que WithSecure cree que los actores de amenazas chinos vendieron o cedieron sus productos a sus homólogos rusos.
La empresa afirma que antes del verano de 2022 el cargador era utilizado exclusivamente por los primeros contra objetivos en Hong Kong, China y otros lugares de la región. Sin embargo, esa actividad cesó en julio solo para que el malware reapareciera un par de meses después en ataques contra diferentes objetivos en diferentes países, incluidos Taiwán, Brasil y Francia.
La herramienta en sí es sólo el último ejemplo de cómo los actores de amenazas innovan para ir un paso por delante de los defensores de la red. En el caso de Cobalt Strike, la herramienta es tan conocida que las medidas defensivas suelen detectar y contener la amenaza.
El panorama general es que la ciberdelincuencia es cada vez más global. Aunque las históricas barreras lingüísticas y culturales han impedido en gran medida el intercambio de información entre las economías de la ciberdelincuencia china y rusa, eso puede estar cambiando.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian