Se ha observado que los actores de amenazas apuntan a empresas de semiconductores en el este de Asia con señuelos disfrazados de Taiwan Semiconductor Manufacturing Company (TSMC) que están diseñados para entregar balizas Cobalt Strike.
El conjunto de intrusión, según EclecticIQ, aprovecha una puerta trasera llamada HyperBro, que luego se utiliza como conducto para implementar el software de simulación de ataques comerciales y el conjunto de herramientas posteriores a la explotación.
Se dice que una secuencia de ataque alternativa utilizó un descargador de malware previamente no documentado para implementar Cobalt Strike, lo que indica que los actores de la amenaza idearon múltiples enfoques para infiltrarse en objetivos de interés.
La empresa holandesa de ciberseguridad atribuyó la campaña a un actor de amenazas vinculado a China debido al uso de HyperBro, que ha sido utilizado casi exclusivamente por un actor de amenazas conocido como Lucky Mouse (también conocido como APT27, Budworm y Emissary Panda).
También se han descubierto superposiciones tácticas entre el adversario detrás de los ataques y otro grupo rastreado por RecordedFuture bajo el nombre de RedHotel, que también se superpone con un equipo de piratería llamado Earth Lusca.
Otra conexión china proviene del uso de un servidor web Cobra DocGuard probablemente comprometido para alojar archivos binarios de segunda etapa, incluido un implante basado en Go denominado ChargeWeapon, para su distribución a través del descargador.
Vale la pena señalar que una versión troyanizada del software de cifrado Cobra DocGuard de EsafeNet también se ha vinculado al despliegue de PlugX, y Symantec lo vincula a un presunto actor del nexo con China con nombre en código Carderbee.
Un informe publicado por el Departamento de Defensa de Estados Unidos (DoD) el mes pasado describió a China como una “amenaza de ciberespionaje amplia y generalizada”, y que roba secretos tecnológicos y emprende esfuerzos de vigilancia para obtener una ventaja estratégica.
Info – Ciberseguridad Latam