Home Ciberguerra Espías chinos piratean redes neerlandesas, con un novedoso malware Coathanger

Espías chinos piratean redes neerlandesas, con un novedoso malware Coathanger

Espías respaldados por el Estado chino se infiltraron en las redes de defensa holandesas el año pasado y utilizaron un novedoso malware denominado “Coathhanger” en un intento de robar información confidencial, según los servicios de inteligencia y seguridad de los Países Bajos.

El Servicio de Seguridad e Inteligencia Militar (MIVD) y el Servicio de Seguridad e Inteligencia General (AIVD) del país revelaron ayer en un informe detallado que la intrusión inicial comenzó con la explotación de CVE-2022-42475.

Fortinet publicó un aviso crítico sobre la vulnerabilidad de día cero en diciembre de 2022 y advirtió que estaba siendo explotada por un “actor avanzado” en ataques a “objetivos gubernamentales o relacionados con el gobierno”.

Después de la explotación, los actores de amenazas chinos utilizaron un nuevo troyano de acceso remoto (RAT) “sigiloso y persistente”, denominado Coathanger.

El informe señaló que el RAT podría usarse en combinación con cualquier vulnerabilidad explotada en los dispositivos FortiGate. Sin embargo, esta vez los defensores holandeses de la red parecen haber frustrado el complot de ciberespionaje.

El informe es la primera vez que los Países Bajos denuncian públicamente a Beijing por piratería informática patrocinada por el Estado. Sin embargo, el gigante tecnológico del país, ASML, desempeña un papel fundamental en la cadena de suministro global de chips avanzados, lo que ha elevado el perfil de la pequeña nación del norte de Europa entre ciertos gobiernos.

MIVD y AIVD afirmaron que el ataque es ilustrativo de una tendencia más amplia de los actores de amenazas a apuntar a dispositivos periféricos como VPN, servidores de correo electrónico y firewalls, que están conectados a la Internet pública pero que a menudo no están protegidos por el monitoreo de detección y respuesta de puntos finales (EDR).

Los recientes ataques de día cero a dispositivos Ivanti por parte de actores chinos de amenazas de nexo confirman este punto.

Los servicios de inteligencia holandeses aconsejaron a las organizaciones mitigar las amenazas a los dispositivos periféricos mediante:

Realizar periódicamente un análisis de riesgos en los dispositivos, como cuando se agregan nuevas funciones.

Limitar el acceso a Internet deshabilitando los puertos y las funcionalidades no utilizados y garantizando que no se pueda acceder a la interfaz de administración desde Internet.

Realizar periódicamente análisis de registros para detectar actividad anómala, incluidos intentos de inicio de sesión en momentos inusuales, direcciones IP desconocidas o cambios de configuración no autorizados.

Instalar las últimas actualizaciones de seguridad de los proveedores tan pronto como estén disponibles y activar cualquier funcionalidad relacionada con la seguridad que los proveedores pongan a disposición.

Reemplazo de hardware y software que ya no es compatible