Se detecta una nueva campaña APT china dirigida a embajadas europeas
Se ha descubierto que este actor APT con base en China utiliza el contrabando de HTML para evitar ser detectado.
- Los ataques de 'ransomware' plantean dilemas de comunicación para los gobiernos locales
- La Universidad Pompeu Fabra bloquea sus servicios informáticos por un posible ciberataque
- Un grupo norcoreano de APT ataca las credenciales de correo electrónico en una campaña de ingeniería social
- Las pymes y los MSP, objetivo de grupos de APT
Una campaña de amenazas persistentes avanzadas (APT) con base en China ha tenido como objetivo entidades gubernamentales europeas centradas en política exterior e interior, según una investigación de Check Point.
La campaña, apodada SmugX, utiliza el contrabando HTML, una técnica en la que los atacantes ocultan cargas maliciosas dentro de documentos HTML.
Activa desde diciembre de 2022, la campaña es probablemente una continuación directa de otra previamente reportada atribuida a RedDelta y al grupo Mustang Panda, según el informe de Check Point.
Campaña dirigida a embajadas europeas
Check Point dijo que ha estado rastreando al actor de amenazas chino durante dos meses y ha llegado a la conclusión de que se dirige a entidades de política exterior e interior, así como a embajadas en Europa.
"Combinado con la actividad de otros grupos chinos previamente reportados por Check Point Research, esto representa una tendencia más amplia dentro del ecosistema chino, apuntando a un cambio de objetivo hacia entidades europeas, con un enfoque en su política exterior", añade el informe.
Aparte del Reino Unido, la campaña parece centrarse en países de Europa del Este, como la República Checa, Eslovaquia y Hungría. El objetivo de la campaña, según la evaluación de Check Point, es "hacerse con información sensible sobre la política exterior de esos países".
SmugX despliega la variante evasiva PlugX
La campaña utiliza nuevos métodos de entrega (principalmente contrabando de HTML) para desplegar una nueva variante de PlugX, un implante comúnmente asociado con varios actores de amenazas chinos.
También conocido como Korplug o Sogu, PlugX es un troyano de acceso remoto (RAT) que proporciona acceso no autorizado a un sistema comprometido, permitiendo a un atacante controlar y supervisar una máquina infectada de forma remota.
Aunque la carga útil utilizada en la campaña es similar a las encontradas en variantes anteriores de PlugX, el nuevo método de entrega ha hecho que las tasas de detección y las evasiones con éxito sean menores.
"La forma en que se utiliza el contrabando HTML en la campaña de correo electrónico de SmugX da lugar a la descarga de un archivo JavaScript o ZIP. Esto conduce a una larga cadena de infección que resulta en la infección PlugX de la víctima", dice el informe.
Los temas de los señuelos identificados por Check Point se centraban principalmente en entidades de política interior y exterior de Europa Central y Oriental, junto con algunas referencias de Europa Occidental. La mayoría de los documentos incluían contenido de carácter diplomático, directamente relacionado con China o los derechos humanos en ese país. Entre las víctimas más atacadas se encontraban diplomáticos y funcionarios de entidades gubernamentales.