Hackers respaldados por el estado chino están apuntando a tibetanos con ataques de cadena de suministro y de punto de agua.

Luis Quiles

marzo 7, 2024

Ciber espionaje

El actor de amenazas vinculado a China conocido como Evasive Panda orquestó ataques de punto de agua y de cadena de suministro dirigidos a usuarios tibetanos al menos desde septiembre de 2023.

El objetivo de los ataques es entregar descargadores maliciosos para Windows y macOS que despliegan un backdoor conocido como MgBot y un implante de Windows previamente no documentado conocido como Nightdoor.

Los hallazgos provienen de ESET, que dijo que los atacantes comprometieron al menos tres sitios web para llevar a cabo ataques de punto de agua, así como un compromiso de la cadena de suministro de una empresa de software tibetana. La operación fue descubierta en enero de 2024.

Evasive Panda, activo desde 2012 y también conocido como Bronze Highland y Daggerfly, fue revelado anteriormente por la empresa eslovaca de ciberseguridad en abril de 2023 por haber atacado a una organización no gubernamental (ONG) internacional en China continental con MgBot.

Otro informe de Symantec, propiedad de Broadcom, alrededor del mismo tiempo implicó al adversario en una campaña de ciberespionaje dirigida a infiltrarse en proveedores de servicios de telecomunicaciones en África al menos desde noviembre de 2022.

El último conjunto de ataques cibernéticos implica la compromisión estratégica del sitio web de la Kagyu International Monlam Trust («www.kagyumonlam[.]org»).

«Los atacantes colocaron un script en el sitio web que verifica la dirección IP del posible objetivo y si está dentro de uno de los rangos de direcciones objetivo, muestra una página de error falsa para incitar al usuario a descargar una ‘solución’ llamada certificado», dijeron los investigadores de ESET.

«Este archivo es un descargador malicioso que despliega la siguiente etapa en la cadena de compromiso.» Las comprobaciones de dirección IP muestran que el ataque está diseñado específicamente para apuntar a usuarios en India, Taiwán, Hong Kong, Australia y Estados Unidos.

Se sospecha que Evasive Panda capitalizó el Festival Anual Kagyu Monlam que tuvo lugar en India a fines de enero y febrero de 2024 para dirigirse a la comunidad tibetana en varios países y territorios.

El ejecutable, llamado «certificate.exe» en Windows y «certificate.pkg» para macOS, sirve como plataforma de lanzamiento para cargar el implante Nightdoor, que posteriormente abusa de la API de Google Drive para el control y comando (C2).

Además, la campaña es notable por infiltrarse en el sitio web («monlamit[.]com») y la cadena de suministro de una empresa de software india para distribuir instaladores troyanizados de Windows y macOS del software de traducción al tibetano. El compromiso ocurrió en septiembre de 2023.

«Los atacantes también abusaron del mismo sitio web y de un sitio de noticias tibetano llamado Tibetpost – tibetpost[.]net – para alojar las cargas obtenidas por las descargas maliciosas, incluidos dos backdoors completos para Windows y un número desconocido de cargas para macOS», señalaron los investigadores.

Por su parte, el instalador troyanizado de Windows activa una secuencia de ataque multifase sofisticada para dejar caer MgBot o Nightdoor, signos de los cuales han sido detectados desde tan temprano como en 2020.

«El backdoor viene equipado con funciones para recopilar información del sistema, lista de aplicaciones instaladas y procesos en ejecución; generar un shell inverso, realizar operaciones de archivo y desinstalarse del sistema infectado», afirmó ESET.

«Los atacantes desplegaron varios descargadores, droppers y backdoors, incluido MgBot, que es utilizado exclusivamente por Evasive Panda, y Nightdoor: la última gran adición al arsenal del grupo y que ha sido utilizada para atacar varias redes en Asia Oriental», añadió.

Tags :

espionage, hack, hackers, seguridad de software, vulnerabilidad

Share this article :