Un grupo de amenazas alineado con el Estado chino, ha estado extrayendo correos electrónicos y archivos de objetivos militares y gubernamentales de alto nivel en todo Oriente Medio, África y el Sudeste Asiático a diario desde finales de 2022.
La Operación Espectro Diplomático, una descarada campaña de espionaje descrita en un nuevo informe de la Unidad 42 de Palo Alto Networks, tiene como objetivo ministerios de relaciones exteriores, entidades militares, embajadas y más, en al menos siete países en tres continentes. Su objetivo es obtener información clasificada y sensible sobre conflictos geopolíticos, misiones diplomáticas y económicas, operaciones militares, reuniones y cumbres políticas, políticos de alto rango y personal militar y, sobre todo, embajadas y ministerios de relaciones exteriores.
La campaña continúa y los atacantes ya han demostrado su voluntad de continuar espiando, incluso después de haber sido expuestos y expulsados de redes comprometidas.
Los ataques de Diplomatic Spectre comienzan apuntando a servidores web y servidores de Microsoft Exchange. Los atacantes explotan estos activos conectados a Internet utilizando dos vulnerabilidades críticas pero de hace tres años (ProxyLogon y ProxyShell) e implantes de VBScript en memoria.
Con el acceso inicial disponible, el grupo ha utilizado un total de 16 herramientas maliciosas. Algunos son programas comunes de código abierto, como la herramienta de escaneo nbtscan JuicyPotatoNG, una herramienta de escalada de privilegios para Windows, y Mimikatz para el robo de credenciales. Algunos son más singulares, como Yasso, una herramienta china de prueba de penetración relativamente nueva y poderosa que los atacantes pueden usar para fuerza bruta, escaneo, shell interactivo, ejecución de comandos arbitrarios y más. Nunca antes se había registrado a actores de amenazas usando Yasso en la naturaleza.
Diplomatic Spectre también utiliza algunas familias de malware chinas notorias como PlugX y China Chopper. En particular, utiliza Gh0st RAT, como medio para consolidar su presencia en sistemas específicos y como inspiración para las puertas traseras personalizadas de Diplomatic Spectre.
Primero está SweetSpecter, una nueva variante del resurgido Gh0st RAT de 2023, diseñada en gran medida para comunicaciones efectivas de comando y control (C2). Luego está TunnelSpecter, que, además del túnel C2, toma huellas dactilares de las máquinas víctimas y permite la ejecución de comandos arbitrarios. TunnelSpecter está codificado con el nombre de usuario SUPPORT_388945c0, un intento abierto de imitar la cuenta predeterminada SUPPORT_388945a0 asociada con la función de Asistencia remota de Windows.
El objetivo de todo esto es llegar a la bandeja de entrada de correo electrónico de un objetivo de alto valor, desde donde Diplomatic Spectre comenzará a filtrar silenciosamente correos electrónicos y archivos confidenciales. A veces, el grupo extrae toda la bandeja de entrada de la víctima. Otras veces es más específico y utiliza búsquedas de palabras clave para filtrar asuntos de interés para la República Popular China: datos militares, información sobre telecomunicaciones y energía, material relacionado con Xi Jinping, Joe Biden y otros líderes políticos, etc.
La defensa contra el espectro diplomático comienza bloqueando sus medios de acceso inicial, parcheando y reforzando de otro modo los activos conectados a Internet. Después de todo, sus víctimas muy importantes parecen haber caído en vulnerabilidades conocidas por el público desde hace bastante tiempo antes de que ocurriera cualquier ataque.
Después de eso, dice Assaf Dahan, director de investigación de amenazas Cortex en Palo Alto Networks, todo se trata de una defensa en profundidad.
“Vemos organizaciones de todo el mundo que no practican una buena higiene cibernética y dejan enormes ventanas para que los piratas informáticos entren”, afirma. “[Necesita] todas las capas de seguridad que pueda obtener: buen monitoreo, detección y respuesta de la red, soluciones de correo electrónico en la nube.
“Una vez que has puesto suficientes vallas, realmente se hace más difícil que los malos actores entren en tu red”.