Ciberespionaje chino infiltra operadores de telecomunicaciones en Asia desde 2021

breachforums
El FBI incauta el foro de piratería BreachForums utilizado para filtrar datos robados
16 de mayo de 2024
Hackers chinos y norcoreanos apuntan a la infraestructura global con ransomware
Hackers chinos y norcoreanos apuntan a la infraestructura global con ransomware
26 de junio de 2024

Grupos de ciberespionaje asociados con China han sido vinculados a una prolongada campaña que ha infiltrado varias operadoras de telecomunicaciones ubicadas en un solo país asiático desde al menos 2021.

«Los atacantes colocaron puertas traseras en las redes de las empresas objetivo y también intentaron robar credenciales«, dijo el Symantec Threat Hunter Team, parte de Broadcom, en un informe compartido con The Hacker News.

La firma de ciberseguridad no reveló el país objetivo, pero dijo que encontró evidencia que sugiere que la actividad cibernética maliciosa pudo haber comenzado ya en 2020.

Los ataques también se dirigieron a una empresa de servicios no identificada que atendía al sector de las telecomunicaciones y a una universidad en otro país asiático, agregó.

La elección de herramientas utilizadas en esta campaña coincide con otras misiones llevadas a cabo por grupos de espionaje chinos como Mustang Panda (también conocido como Earth Preta y Fireant), RedFoxtrot (también conocido como Neeedleminer y Nomad Panda) y Naikon (también conocido como Firefly) en los últimos años.

Esto incluye puertas traseras personalizadas rastreadas como COOLCLIENT, QUICKHEAL y RainyDay que vienen equipadas con capacidades para capturar datos confidenciales y establecer comunicación con un servidor de comando y control (C2).

Si bien la vía de acceso inicial exacta utilizada para violar los objetivos se desconoce actualmente, la campaña también se destaca por implementar herramientas de escaneo de puertos y realizar robo de credenciales mediante el volcado de registros del Registro de Windows.

El hecho de que las herramientas tengan conexiones con tres colectivos adversarios diferentes ha planteado varias posibilidades: los ataques se están llevando a cabo de forma independiente entre sí, un solo actor de amenazas está utilizando herramientas adquiridas de otros grupos o diversos actores están colaborando en una sola campaña.

Tampoco está claro en esta etapa el motivo principal detrás de las intrusiones, aunque los actores de amenazas chinos tienen un historial de ataques al sector de las telecomunicaciones en todo el mundo.

En noviembre de 2023, Kaspersky reveló una campaña de malware ShadowPad dirigida a una de las empresas nacionales de telecomunicaciones de Pakistán explotando fallas de seguridad conocidas en Microsoft Exchange Server (CVE-2021-26855, también conocido como ProxyLogon).

«Los atacantes pueden haber estado recopilando inteligencia sobre el sector de las telecomunicaciones en ese país», postuló Symantec. «La escucha es otra posibilidad. Alternativamente, los atacantes pueden haber estado intentando construir una capacidad disruptiva contra la infraestructura crítica en ese país».