Piratas informáticos chinos apuntan al sector energético en Australia y el mar de China Meridional

El actor de amenazas alineado con el estado chino TA423 (también conocido como Leviatán/APT40) está detrás de una campaña sostenida de ciberespionaje contra países y entidades que operan en el Mar de China Meridional, incluidas las organizaciones involucradas en un parque eólico marino en el Estrecho de Taiwán.

Las campañas más recientes del actor de amenazas utilizaron correos electrónicos maliciosos que se hacían pasar por organizaciones de medios australianas, incluido el falso Australian Morning News, para entregar el malware ScanBox para el reconocimiento, según un informe redactado por la firma de seguridad cibernética Proofpoint, en colaboración con PwC.

Los investigadores también observaron actividad de phishing dirigida a agencias gubernamentales, empresas de medios de comunicación y operadores de turbinas eólicas del mar de China Meridional, así como a un fabricante europeo que suministra equipos para el parque eólico marino de Yunlin en el estrecho de Taiwán.

La campaña de espionaje estuvo activa desde abril hasta junio, con direcciones URL entregadas en correos electrónicos de phishing que redirigían a las víctimas a un sitio web malicioso, donde la página de destino entregaba una carga útil de malware JavaScript ScanBox a objetivos seleccionados.

“Las campañas de phishing relacionadas con ScanBox identificadas entre abril y junio de 2022 se originaron en direcciones de correo electrónico de Gmail y Outlook que Proofpoint evalúa con confianza moderada fueron creadas por el actor de amenazas y utilizaron una variedad de [líneas] de asunto que incluyen 'Baja por enfermedad', 'Usuario Investigación' y 'Solicitar cooperación'”, una publicación de blog sobre la campaña señaló, y agregó que la campaña de phishing está actualmente en curso.

ScanBox es un marco de reconocimiento y explotación diseñado para recopilar varios tipos de información, como la dirección IP pública del objetivo, el tipo de navegador web que utilizan y la configuración de su navegador (idioma o información del complemento, por ejemplo). Permite a los actores de amenazas perfilar a las víctimas y entregar más malware cuidadosamente elaborado a objetivos de interés seleccionados.

Esto sirve como configuración para las siguientes etapas de recopilación de información y posible explotación o compromiso posterior, donde se podría implementar malware para ganar persistencia en los sistemas de la víctima y permitir que el atacante realice actividades de espionaje.

“Crea una impresión de la red de la víctima que luego los actores estudian y deciden la mejor ruta a seguir para lograr un mayor compromiso”, explica Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint.

Proofpoint comenzó a observar un patrón constante de orientación contra entidades con sede en Malasia y Australia desde marzo de 2021, la primera fase de la campaña.

“La segunda fase comenzó en marzo de 2022 y consistió en campañas de phishing que utilizaron archivos adjuntos de inyección de plantillas RTF aprovechando las URL de plantilla personalizadas para cada objetivo”, señaló el informe.

Activo durante casi una década

DeGrippo señala que TA423 ha estado activo durante casi 10 años, con su actividad encajando con eventos militares y políticos en la región de Asia-Pacífico. Los objetivos típicos de TA423 incluyen contratistas de defensa, fabricantes, universidades, agencias gubernamentales, firmas legales involucradas en disputas diplomáticas y compañías extranjeras involucradas con la política de Australasia o las operaciones del Mar del Sur de China.

Ella llama a TA423 "uno de los actores de amenazas persistentes avanzadas (APT) más consistentes" en el panorama de amenazas, apoyando al gobierno chino en asuntos relacionados con el Mar de China Meridional, incluso durante las recientes tensiones en Taiwán.

“Este grupo quiere saber específicamente quién está activo en la región y, aunque no podemos asegurarlo, es probable que su enfoque en los asuntos navales siga siendo una prioridad constante en lugares como Malasia, Singapur, Taiwán y Australia”, dijo. explica.

El grupo es tan capaz que en 2021, el Departamento de Justicia de EE. UU. acusó a cuatro de sus presuntos miembros de “campaña global de intrusión informática dirigida a la propiedad intelectual y la información comercial confidencial”.

“Esperamos que TA423 continúe con su misión de recopilación de inteligencia y espionaje, principalmente dirigida a países con intereses en el Mar de China Meridional, así como más intrusiones en Australia, Europa y Estados Unidos”, dice DeGrippo.

Pico en las campañas de phishing

Los actores malintencionados utilizan métodos cada vez más sofisticados e inusuales para realizar campañas de phishing.

A principios de este mes, los actores de amenazas usaron una cuenta comercial comprometida de Dynamics 365 Customer Voice y un enlace que se hacía pasar por una encuesta para robar las credenciales de Microsoft 365 en un campaña generalizada.

Los investigadores de Google también descubrieron la última amenaza del grupo iraní APT Charming Kitten, que tiene una nueva herramienta de raspado de datos que extrae correos electrónicos de las cuentas de Gmail, Yahoo y Microsoft Outlook de la víctima utilizando credenciales previamente adquiridas.

DeGrippo dice que proteger a los usuarios de correo electrónico y el vector de correo electrónico debe ser una prioridad principal para las organizaciones, en particular aquellas industrias muy específicas con un tráfico de correo electrónico significativo.

“Las organizaciones deben centrarse en una estrategia de ciberseguridad basada en personas, procesos y tecnología”, agrega. “Esto significa capacitar a las personas para identificar correos electrónicos maliciosos, usar herramientas de seguridad de correo electrónico para bloquear las amenazas antes de que lleguen a las bandejas de entrada de los usuarios e implementar los procesos correctos para garantizar que las amenazas puedan mitigarse de inmediato”.