- Sophos X-Ops encontró vínculos entre cinco conocidos grupos de amenazas chinos, incluidos APT41 y BackdoorDiplomacy.
- El equipo de inteligencia de la compañía reveló que los atacantes hicieron uso de malware para espionaje nunca antes visto.
OXFORD, REINO UNIDO – junio de 2024 — Sophos, líder mundial en soluciones de seguridad innovadoras para vencer ciberataques, ha publicado el informe “Operación Palacio Carmesí: la caza de amenazas revela grupos chinos patrocinados por el Estado que tienen como objetivo el Sudeste Asiático” que detalla un caso de espionaje altamente sofisticado que la compañía llevó a cabo durante un periodo de casi dos años contra un objetivo gubernamental de alto rango.
Durante la investigación de Sophos X-Ops, el equipo de expertos en inteligencia de amenazas de la compañía, que comenzó en 2023, los profesionales de detección y respuesta gestionada (MDR) encontraron tres grupos distintos con actividades dirigidas a la misma organización, dos de los cuales incluían tácticas, técnicas y procedimientos (TTP) similares a los de otros atacantes chinos: BackdoorDiplomacy, APT15 y el subgrupo APT41 Earth Longzhi.
Los atacantes diseñaron la operación para obtener conocimiento de usuarios específicos, así como información política, económica y militar confidencial, utilizando una amplia variedad de malware y herramientas a lo largo de la actividad, que Sophos ha llamado «Crimson Palace». Esto incluye malware nunca antes visto: una herramienta de persistencia que la compañía ha nombrado PocoProxy.
«Los diferentes grupos parecen haber trabajado para apoyar los intereses del Estado chino mediante la recopilación de inteligencia militar y económica sobre las estrategias del país objetivo en el Mar del Sur de China. En esta campaña en particular, creemos que los tres grupos trabajan en paralelo para atacar el mismo objetivo, bajo las directrices de una autoridad estatal. Sólo en uno de los tres, Alpha, observamos el uso de malware y TTP de otros cuatro grupos de amenazas chinos de los que se ha informado por separado. Es bien conocido que los atacantes chinos comparten infraestructura y herramientas, y esta reciente campaña es un recordatorio de cuán extensamente estos grupos comparten sus herramientas y técnicas», explica el director de caza de amenazas e inteligencia de Sophos, Paul Jaramillo.
«A medida que los gobiernos occidentales aumentan la concienciación sobre las ciberamenazas provenientes de China, este hallazgo de Sophos refuerza que centrarse demasiado en una única atribución china puede poner a las organizaciones en riesgo de no detectar tendencias sobre cómo estos atacantes coordinan sus operaciones. Por lo tanto, al tener una visión más amplia y profunda, las empresas e instituciones pueden hacer que sus defensas sean más eficaces», añade.
El equipo de Sophos X-Ops tuvo conocimiento de la actividad maliciosa en la red del objetivo en diciembre de 2022, cuando descubrieron una herramienta de extracción de datos utilizada anteriormente por el grupo de amenazas chino Mustang Panda. A partir de ahí, el equipo de MDR comenzó una búsqueda más amplia de actividad maliciosa. En mayo de 2023, Sophos descubrió un ejecutable vulnerable de VMWare y, tras analizarlo, tres grupos distintos activos en la red de la víctima: Cluster Bravo, Cluster Charlie y Cluster Alpha.
«Lo que quedó claro con esta operación fue el agresivo desarrollo de las operaciones de ciberespionaje en el Mar de China Meridional. Tenemos múltiples grupos de amenazas, probablemente con recursos ilimitados, que atacan a la misma organización gubernamental de alto rango durante semanas o meses seguidos, y utilizan malware personalizado combinado con herramientas de acceso público. Eran -y siguen siendo- capaces de moverse a su antojo dentro de una organización, cambiando sus herramientas con frecuencia. Uno de los grupos sigue muy activo e intenta infiltrarse más.», explica Jaramillo.
Lee más sobre esta campaña de espionaje en “Operación Palacio Carmesí: La caza de amenazas revela grupos de actividad patrocinados por el Estado chino que tienen como objetivo el Sudeste Asiático” o sobre los tres grupos de actividad en “Operación Palacio Carmesí: Un análisis técnico en profundidad” en el sitio web de Sophos.
Equipo Prensa
Portal Prensa Eventos