Troyano
Malware
cibercrimen
Ciberataques

Se detecta una nueva campaña APT china dirigida a embajadas europeas

Se ha descubierto que este actor APT con base en China utiliza el contrabando de HTML para evitar ser detectado.

Caballo de Troya, troyano
Caballo de Troya. Foto de KEMAL HAYIT (Pexels).

Una campaña de amenazas persistentes avanzadas (APT) con base en China ha tenido como objetivo entidades gubernamentales europeas centradas en política exterior e interior, según una investigación de Check Point. 

La campaña, apodada SmugX, utiliza el contrabando HTML, una técnica en la que los atacantes ocultan cargas maliciosas dentro de documentos HTML. 

Activa desde diciembre de 2022, la campaña es probablemente una continuación directa de otra previamente reportada atribuida a RedDelta y al grupo Mustang Panda, según el informe de Check Point. 

 

Campaña dirigida a embajadas europeas 

Check Point dijo que ha estado rastreando al actor de amenazas chino durante dos meses y ha llegado a la conclusión de que se dirige a entidades de política exterior e interior, así como a embajadas en Europa. 

"Combinado con la actividad de otros grupos chinos previamente reportados por Check Point Research, esto representa una tendencia más amplia dentro del ecosistema chino, apuntando a un cambio de objetivo hacia entidades europeas, con un enfoque en su política exterior", añade el informe. 

Aparte del Reino Unido, la campaña parece centrarse en países de Europa del Este, como la República Checa, Eslovaquia y Hungría. El objetivo de la campaña, según la evaluación de Check Point, es "hacerse con información sensible sobre la política exterior de esos países"

 

SmugX despliega la variante evasiva PlugX 

La campaña utiliza nuevos métodos de entrega (principalmente contrabando de HTML) para desplegar una nueva variante de PlugX, un implante comúnmente asociado con varios actores de amenazas chinos. 

También conocido como Korplug o Sogu, PlugX es un troyano de acceso remoto (RAT) que proporciona acceso no autorizado a un sistema comprometido, permitiendo a un atacante controlar y supervisar una máquina infectada de forma remota. 

Aunque la carga útil utilizada en la campaña es similar a las encontradas en variantes anteriores de PlugX, el nuevo método de entrega ha hecho que las tasas de detección y las evasiones con éxito sean menores. 

"La forma en que se utiliza el contrabando HTML en la campaña de correo electrónico de SmugX da lugar a la descarga de un archivo JavaScript o ZIP. Esto conduce a una larga cadena de infección que resulta en la infección PlugX de la víctima", dice el informe. 

Los temas de los señuelos identificados por Check Point se centraban principalmente en entidades de política interior y exterior de Europa Central y Oriental, junto con algunas referencias de Europa Occidental. La mayoría de los documentos incluían contenido de carácter diplomático, directamente relacionado con China o los derechos humanos en ese país. Entre las víctimas más atacadas se encontraban diplomáticos y funcionarios de entidades gubernamentales. 



TE PUEDE INTERESAR...

Webinars

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper