Home Otras Ciberdelincuentes chinos apuntan a entidades de la ASEAN, en una campaña de...

Ciberdelincuentes chinos apuntan a entidades de la ASEAN, en una campaña de espionaje

Dos grupos chinos de amenazas persistentes avanzadas (APT) han estado llevando a cabo campañas de ciberespionaje dirigidas a entidades en países afiliados a la Asociación de Naciones del Sudeste Asiático (ASEAN) durante los últimos 90 días.

La Unidad 42, el equipo de inteligencia sobre amenazas cibernéticas del proveedor de ciberseguridad Palo Alto Networks, observó estas nuevas campañas.

El primer grupo es un grupo APT establecido comúnmente conocido como Stately Taurus (también conocido como Mustang Panda, Bronze President, Red Delta, LuminousMoth, Earth Preta y Camaro Dragon).

Stately Taurus ha estado operando desde al menos 2012. El grupo generalmente lleva a cabo campañas de ciberespionaje dirigidas a entidades gubernamentales, organizaciones sin fines de lucro y organizaciones religiosas y no gubernamentales en América del Norte, Europa y Asia.

Esta última campaña de ciberespionaje observada por la Unidad 42 estaba dirigida a entidades en Myanmar, Filipinas, Japón y Singapur. Coincidió con la Cumbre Especial ASEAN-Australia, celebrada del 4 al 6 de marzo de 2024.

Mientras se desarrollaba la Cumbre, los investigadores de la Unidad 42 descubrieron dos paquetes de malware que observaron dirigidos a países asiáticos.

Estos dos paquetes se denominaron Talking_Points_for_China.zip, un archivo ZIP que incluía dos archivos maliciosos que conducían al malware, y PSO.scr, un archivo ejecutable de protector de pantalla que conducía a un archivo ejecutable malicioso. Es probable que PSO sea una referencia al título de Oficial de Estado Mayor, un rango en el ejército de Myanmar.

Otro grupo chino APT apuntó a entidades afiliadas a la ASEAN

El segundo grupo APT afiliado a China permaneció sin nombre en el informe de la Unidad 42.

Los investigadores de la Unidad 42 identificaron recientemente conexiones de red entre una entidad afiliada a la ASEAN y otras entidades gubernamentales asiáticas, y la infraestructura de comando y control (C2) del grupo de ciberatacantes chino, lo que indica que los sistemas de TI de las entidades habían sido comprometidos.

Tras la investigación, los investigadores de seguridad descubrieron que el actor de amenazas estuvo activo durante enero y febrero de 2024.

La actividad del actor de amenazas parecía seguir el horario comercial de los días laborables (hora estándar de China). Se desaceleró o se detuvo durante el Año Nuevo Lunar y el “Día Laboral Especial” ordenado por los chinos el 18 de febrero.