Home Ciberguerra Grupo cibercriminal, con sede en China, apunta a Taiwán, en una campaña...

Grupo cibercriminal, con sede en China, apunta a Taiwán, en una campaña de ciberespionaje

RedJuliett, un grupo probablemente patrocinado por el estado chino, llevó a cabo campañas de ciberespionaje dirigidas a Taiwán desde noviembre de 2023 hasta abril de 2024, según el proveedor de ciberseguridad Recorded Future.

En un informe publicado el 24 de junio, Insikt Group, el equipo de investigación de Recorded Future, compartió sus hallazgos sobre las campañas.

El grupo de piratas informáticos comprometió a 24 organizaciones, incluidas agencias gubernamentales de Taiwán, Laos, Kenia y Ruanda.

El grupo también llevó a cabo un reconocimiento de la red mediante escaneo de vulnerabilidades o intentos de explotación contra más de 70 organizaciones académicas, gubernamentales, de grupos de expertos y tecnológicas en Taiwán, así como múltiples embajadas de facto que operan en la isla.

Aproximadamente el 60% de las organizaciones de víctimas identificadas por RedJuliett estaban en Taiwán, y otras en Hong Kong, Corea del Sur, Laos, Estados Unidos, Ruanda, Kenia y Yibuti.

RedJuliett aprovechó vulnerabilidades conocidas en dispositivos con acceso a Internet para el acceso inicial. Estos incluyen dispositivos de borde de red, como firewalls, redes privadas virtuales (VPN) y equilibradores de carga.

El grupo también intentó inyectar lenguaje de consulta estructurado (SQL) y explotar directorios contra aplicaciones web y SQL.

En algunos casos, los investigadores de Insikt Group observaron que el grupo realizaba actividades posteriores a la explotación utilizando webshells de código abierto y explotando una conocida vulnerabilidad de elevación de privilegios en el sistema operativo (SO) Linux.

RedJuliett utilizó el software VPN de código abierto SoftEther para administrar la infraestructura operativa que consta de servidores controlados por actores de amenazas alquilados a proveedores de servidores privados virtuales (VPS) e infraestructura comprometida perteneciente a tres universidades taiwanesas.

RedJuliett es un nuevo grupo de ciberespionaje que opera desde Fuzhou, la capital de la provincia de Fujian, en China.

Microsoft detectó por primera vez la actividad maliciosa del grupo en agosto de 2023. El gigante tecnológico dijo que observó una campaña de ciberespionaje dirigida a organizaciones en Taiwán y que utilizaba técnicas de vida fuera de la tierra (LotL) y SoftEther. Microsoft rastrea al grupo bajo el nombre de Flax Typhoon.

Ese mismo mes, un informe de CrowdStrike sobre un grupo al que el proveedor de inteligencia de amenazas rastrea como Ethereal Panda mostró tácticas, técnicas y procedimientos muy similares (TTP) y el uso por parte del grupo del webshell de código abierto Godzilla.

En el informe Recorded Future, los investigadores del Grupo Insikt observaron actividad administrativa sospechosa desde las direcciones IP de Chinanet geolocalizadas en Fuzhou, provincia de Fujian, hasta múltiples servidores RedJuliett SoftEther.

Los expertos se refirieron a observaciones anteriores que muestran que las operaciones de inteligencia chinas con base en Fuzhou caen dentro del Comando del Teatro Oriental del EPL, que se centra en gran medida en apuntar a Taiwán.

Con base en esta ubicación y la actividad del grupo, Insikt Group evaluó que RedJuliett probablemente esté patrocinado por el gobierno chino.

“Las actividades de RedJuliett se alinean con los objetivos de Beijing de recopilar inteligencia sobre la política económica, el comercio y las relaciones diplomáticas de Taiwán. El grupo también apuntó a múltiples empresas de tecnología crítica, destacando la importancia estratégica de este sector para los actores de amenazas patrocinados por el estado chino”, dice el informe.