Un grupo de ciberespionaje chino apunta a objetivos diplomáticos en Sudamérica
El actor ha expandido su zona de actuaciones, que antes se centraba en Asia y Europa, según un informe de Microsoft.
El grupo de ciberespionaje chino DEV-0147 está tratando de comprometer objetivos diplomáticos en Sudamérica, según el equipo de inteligencia de seguridad de Microsoft. Se ha observado “una expansión notable de las operaciones de exfiltración de datos del actor de amenazas que tradicionalmente se dirigía a agencias gubernamentales y grupos de expertos de Asia y Eruopa”. Ahora, sus ataques en América del Sur incluyen actividades posteriores a la explotación que implican el abuso de infraestructuras de identidad locales para reconocimiento y movimientos laterales, y el uso de Cobal Strike, una herramienta de pentesting, para el comando, control y robo de información.
Además, el grupo implementa ShadowPad, un troyano de acceso remoto persistente. Y utiliza QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional, según informa la investigación. Varios expertos han asociado ShadoPad con otros actores APT con sede en el país asiático.
ShadowPad, también conocido como PoisonPlug, es el sucesor de PlugX RAT, que era usado por el grupo Bronze Atlas, patrocinado por el Gobierno chino desde al menos 2017, según un análisis de Secureworks. “El análisis de muestras de ShadowPad reveló grupos de actividades vinculados a actores de amenazas afiliados a la Agencia de inteligencia civil del Ministerio de Seguridad del Estado de China y de su Ejército Popular de Liberación”, establece la compañía.
ShadowPad se descifra en la memoria mediante un algoritmo de descifrado personalizado. Se han identificado varias versiones basadas en distintos algoritmos.
La RAT extrae información sobre el host, ejecuta comandos, interactúa con el sistema de archivos y el registro, e implementa nuevos módulos para ampliar la funcionalidad. Las cargas útiles de ShadowPad se implementan en un host, ya sea encriptadas dentro de un cargador de DLL o en un archivo separado junto con el cargador. Estos descifran y ejecutan ShadowPad en la memoria después de haber sido transferidos por un ejecutable legítimo que es vulnerable al secuestro del orden de búsqueda de DLL.
En septiembre del año pasado, el grupo NCC observó un ataque a una organización no identificada que aprovechó una vulnerabilidad en el software de WSO2 para entregar ShadowPad.
