Ciberespías vinculados a China combinan abrevadero y ataques a la cadena de suministro

Un ciberataque dirigido a un abrevadero vinculado a un grupo de amenazas chino infectó a los visitantes del sitio web de un festival budista y a los usuarios de una aplicación de traducción del idioma tibetano.

La campaña de operaciones cibernéticas del llamado equipo de piratería Evasive Panda comenzó en septiembre de 2023 o antes y afectó a sistemas en India, Taiwán, Australia, Estados Unidos y Hong Kong, según una nueva investigación de ESET.

Como parte de la campaña, los atacantes comprometieron los sitios web de una organización con sede en India que promueve el budismo tibetano; una empresa de desarrollo que produce traducciones al idioma tibetano; y el sitio web de noticias Tibetpost, que luego, sin saberlo, alojó programas maliciosos. Los visitantes de los sitios de geografías globales específicas fueron infectados con goteros y puertas traseras, incluido el MgBot preferido del grupo, así como un programa de puerta trasera relativamente nuevo, Nightdoor.

En general, el grupo ejecutó una impresionante variedad de vectores de ataque en la campaña: un ataque de adversario en el medio (AitM) a través de una actualización de software, explotando un servidor de desarrollo; un abrevadero; y correos electrónicos de phishing, dice el investigador de ESET Anh Ho, quien descubrió el ataque.

"El hecho de que orquesten tanto un ataque a la cadena de suministro como un ataque a un abrevadero dentro de la misma campaña muestra los recursos que tienen", dice. "Nightdoor es bastante complejo, lo cual es técnicamente significativo, pero en mi opinión, el atributo [más significativo] de Evasive Panda es la variedad de vectores de ataque que han podido realizar".

Evasive Panda es un equipo relativamente pequeño que normalmente se centra en la vigilancia de personas y organizaciones en Asia y África. El grupo está asociado con ataques a empresas de telecomunicaciones en 2023, denominado Operación Amor Contaminado de SentinelOne, y asociado con el grupo de atribución Granite Typhoon, de soltera Gallium, según Microsoft. También se le conoce como Daga mosca de Symantec, y parece superponerse con un grupo de ciberdelincuentes y espionaje conocido por Mandiant de Google como APT41.

Abrevaderos y compromisos en la cadena de suministro

El grupo, activo desde 2012, es conocido por sus ataques a la cadena de suministro y por utilizar credenciales de firma de código robadas y actualizaciones de aplicaciones para infectar los sistemas de usuarios en China y África en 2023.

En esta última campaña denunciada por ESET, el grupo comprometió un sitio web del festival budista tibetano Monlam para que sirviera de puerta trasera o herramienta de descarga, y colocó cargas útiles en un sitio de noticias tibetano comprometido, según Análisis publicado de ESET.

El grupo también apuntó a los usuarios al comprometer a un desarrollador de software de traducción tibetano con aplicaciones troyanizadas para infectar los sistemas Windows y Mac OS.

"En este punto, es imposible saber exactamente qué información buscan, pero cuando se implementan las puertas traseras (Nightdoor o MgBot), la máquina de la víctima es como un libro abierto", dice Ho. "El atacante puede acceder a cualquier información que desee".

Evasive Panda se ha dirigido a personas dentro de China con fines de vigilancia, incluidas personas que viven en China continental, Hong Kong y Macao. El grupo también ha comprometido agencias gubernamentales en China, Macao y naciones del sudeste y este de Asia.

En el último ataque, el Instituto de Tecnología de Georgia estuvo entre las organizaciones atacadas en Estados Unidos, afirmó ESET en su análisis.

Vínculos de ciberespionaje

Evasive Panda ha desarrollado su propio marco de malware personalizado, MgBot, que implementa una arquitectura modular y tiene la capacidad de descargar componentes adicionales, ejecutar código y robar datos. Entre otras características, los módulos MgBot pueden espiar a las víctimas comprometidas y descargar capacidades adicionales.

En 2020, Panda Evasivo usuarios objetivo en India y Hong Kong utilizando el descargador MgBot para entregar cargas útiles finales, según Malwarebytes, que vinculó al grupo con ataques anteriores en 2014 y 2018.

Nightdoor, una puerta trasera que el grupo introdujo en 2020, se comunica con un servidor de comando y control para emitir comandos, cargar datos y crear un shell inverso.

La colección de herramientas, incluido MgBot, utilizado exclusivamente por Evasive Panda, y Nightdoor, apunta directamente al grupo de ciberespionaje vinculado a China, afirmó Ho de ESET en el análisis publicado por la empresa.

“ESET atribuye esta campaña al grupo Evasive Panda APT, basándose en el malware que se utilizó: MgBot y Nightdoor”, afirma el análisis. "Durante los últimos dos años, hemos visto ambas puertas traseras desplegadas juntas en un ataque no relacionado contra una organización religiosa en Taiwán, en el que también compartían el mismo servidor de comando [y] control".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks