Un actor chino de ciberespionaje probablemente relacionado con la campaña “Operación Soft Cell” ha estado atacando a proveedores de telecomunicaciones de Oriente Medio desde principios de 2023.
La nueva serie de ataques forma parte de lo que los investigadores de SentinelOne describieron como “Operación Tainted Love”, una campaña de ciberespionaje que exhibe “una capacidad de robo de credenciales bien mantenida y versionada” y un nuevo mecanismo de dropper.
“La fase inicial del ataque consiste en infiltrarse en servidores Microsoft Exchange conectados a Internet para desplegar shells web utilizados para la ejecución de comandos”, escribió Aleksandar Milenkoski, investigador principal de amenazas de SentinelOne, en un aviso publicado hoy. “Una vez establecido un punto de apoyo, los atacantes llevan a cabo una variedad de actividades de reconocimiento, robo de credenciales, movimiento lateral y exfiltración de datos”.
Milenkoski destacó que el despliegue de malware de robo de credenciales personalizado es la principal novedad de la nueva campaña, que se basa en malware que incorpora modificaciones en el código de la herramienta de post-explotación Mimikatz.
Lea más sobre los actores de amenazas que utilizan Mimikatz aquí: Hackers asociados a ShadowPad apuntan a gobiernos asiáticos
Una muestra concreta del malware (denominada mim221 por SentinelOne) también incluía funciones antidetección mejoradas.
“El uso de módulos de propósito especial que implementan una serie de técnicas avanzadas muestra la dedicación de los actores de la amenaza para avanzar en su conjunto de herramientas hacia el máximo sigilo”, explicó Milenkoski.
El investigador de seguridad también aclaró que, aunque los vínculos con la Operación Soft Cell son evidentes, el equipo no pudo vincular directamente la campaña a un actor de amenazas específico.
“Esa campaña se ha asociado públicamente con Gallium, y se han sugerido posibles conexiones con APT41 por el uso de un certificado de firma de código común y herramientas que comparten similitudes de código. También se sabe que APT41 ataca a proveedores de telecomunicaciones”.
De cualquier manera, Milenkoski dijo que los actores de amenazas detrás de la Operación Tainted Love probablemente continuarían actualizando su malware y apuntando a organizaciones en el Medio Oriente.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian