Piratas informáticos chinos de ciberespionaje, utilizan dispositivos USB para atacar a entidades en Filipinas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un actor de amenazas con un presunto nexo con China ha sido vinculado a un conjunto de ataques de espionaje en Filipinas que se basa principalmente en dispositivos USB como vector de infección inicial.

Mandiant, que forma parte de Google Cloud, está rastreando el grupo bajo el nombre no categorizado de UNC4191. Un análisis de los artefactos utilizados en las intrusiones indica que la campaña se remonta a septiembre de 2021.

“Las operaciones de UNC4191 han afectado a una serie de entidades del sector público y privado principalmente en el sudeste asiático y se han extendido a Estados Unidos, Europa y APJ”, señalan los investigadores Ryan Tomcik, John Wolfram, Tommy Dacanay y Geoff Ackerman.

“Sin embargo, incluso cuando las organizaciones atacadas tenían su sede en otros lugares, los sistemas específicos atacados por UNC4191 también se encontraron físicamente ubicados en Filipinas”.

La utilización de unidades USB infectadas para propagar el malware es inusual, si no nueva. Se sabe que el gusano Raspberry Robin, que se ha convertido en un servicio de acceso inicial para los ataques de seguimiento, utiliza las unidades USB como punto de entrada.

La empresa de inteligencia de amenazas y respuesta a incidentes dijo que los ataques condujeron al despliegue de tres nuevas familias de malware denominadas MISTCLOAK, DARKDEW, BLUEHAZE y Ncat, esta última una utilidad de red de línea de comandos que se utiliza para crear un shell inverso en el sistema de la víctima.

MISTCLOAK, por su parte, se activa cuando un usuario conecta un dispositivo extraíble comprometido a un sistema, actuando como una plataforma de lanzamiento para una carga útil cifrada llamada DARKDEW que es capaz de infectar las unidades extraíbles, proliferando efectivamente las infecciones.

El malware se autorreplica infectando nuevas unidades extraíbles que se conectan a un sistema comprometido, lo que permite que las cargas útiles maliciosas se propaguen a sistemas adicionales y que potencialmente recojan datos de sistemas protegidos por el aire.

“Creemos que esta actividad es una muestra de las operaciones chinas para obtener y mantener el acceso a entidades públicas y privadas con el fin de recopilar información de inteligencia relacionada con los intereses políticos y comerciales de China”, indicaron los investigadores.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *