Los grupos estatales recurren a herramientas de código abierto.
Sophos descubrió el nuevo keylogger «Tattletale».
OXFORD, Reino Unido – septiembre 2024 – Sophos, líder mundial en soluciones de seguridad innovadoras para derrotar a los ciberataques, publicó hoy su informe “Crimson Palace: Nuevas herramientas, tácticas, objetivos”, que detalla los últimos avances en una campaña china de ciberespionaje de casi dos años en el sudeste asiático. Sophos X-Ops informó por primera vez sobre lo que denominó Operación Palacio Carmesí en junio y detalló el descubrimiento de tres grupos diferentes de actividad de entidades nacionales chinas (Cluster Alpha, Cluster Bravo y Cluster Charlie) dentro de una organización gubernamental de alto nivel. Tras un breve paréntesis en agosto de 2023, Sophos X-Ops observó una nueva actividad de Cluster Bravo y Cluster Charlie, tanto en la organización objetivo inicial como en otras muchas organizaciones de la región.
Al investigar esta reaparición de la actividad, Sophos X-Ops descubrió un nuevo keylogger que los investigadores de amenazas denominaron «Tattletale», que puede hacerse pasar por los usuarios que han iniciado sesión en el sistema y recopilar información relacionada con las políticas de contraseñas, la configuración de seguridad, las contraseñas almacenadas en caché, la información del navegador y los datos de almacenamiento. Sophos X-Ops también señala en el informe que, a diferencia de la primera oleada de la operación, Cluster Charlie ha pasado a utilizar cada vez más herramientas de código abierto en lugar de desplegar los tipos de malware personalizados que desarrollaron en la oleada inicial de actividad.
“Hemos estado en una partida de ajedrez continua con estos ciberdelincuentes. Durante las fases iniciales de la operación, Cluster Charlie desplegaba varias herramientas y malware a medida”, dijo Paul Jaramillo, director de detección de amenazas e inteligencia de amenazas de Sophos. “Sin embargo, fuimos capaces de ‘quemar’ gran parte de su infraestructura anterior, bloqueando sus herramientas de Mando y Control (C2) y obligándoles a pivotar. Esto es bueno; sin embargo, su cambio a herramientas de código abierto demuestra lo rápido que estos grupos de atacantes pueden adaptarse y seguir siendo persistentes. También parece ser una tendencia emergente entre los grupos de entidades nacionales chinas. Mientras la comunidad de seguridad trabaja para proteger nuestros sistemas más sensibles de estos atacantes, es importante compartir los conocimientos sobre este giro”.
Cluster Charlie, que comparte tácticas, técnicas y procedimientos (TTP) con el grupo de amenazas chino Earth Longzhi, estuvo activo originalmente de marzo a agosto de 2023 en una organización gubernamental de alto nivel en el sudeste asiático. Aunque el grupo estuvo inactivo durante varias semanas, resurgió en septiembre de 2023 y volvió a estar activo al menos hasta mayo de 2024. Durante esta segunda etapa de la campaña, Cluster Charlie se centró en penetrar más profundamente en la red, evadir las herramientas de detección y respuesta de puntos finales (EDR) y recopilar más inteligencia. Además de cambiar a herramientas de código abierto, Cluster Charlie también comenzó a utilizar tácticas desplegadas inicialmente por Cluster Alpha y Cluster Bravo, lo que sugiere que la misma organización está dirigiendo los tres grupos de actividad. Sophos X-Ops ha seguido la actividad de Cluster Charlie en otras muchas organizaciones del sudeste asiático.
Cluster Bravo, que comparte TTP con el grupo de amenazas chino Unfading Sea Haze, sólo estuvo activo originalmente en la red objetivo durante un periodo de tres semanas en marzo de 2023. Sin embargo, el clúster reapareció en enero de 2024, solo que esta vez tenía como objetivo atacar a al menos otras 11 organizaciones y agencias de la misma región.
No sólo estamos viendo que los tres grupos del «Palacio Carmesí» están perfeccionando y coordinando sus tácticas, sino que también están ampliando sus operaciones e intentando infiltrarse en otros objetivos del sudeste asiático. Dada la frecuencia con que los grupos de entidades nacionales chinas comparten infraestructuras y herramientas, y el hecho de que los clusters Bravo y Charlie se están moviendo más allá del objetivo original, es probable que sigamos viendo evolucionar esta campaña, y potencialmente nuevas localizaciones. La seguiremos de cerca», afirmó Jaramillo.
Para saber más, lea «Campaña china de ciberespionaje renueva esfuerzos en múltiples organizaciones del sudeste asiático, mezclando tácticas y aumentando esfuerzos» Para más detalles sobre la detección de amenazas de Sophos y otros servicios para interrumpir ciberataques, visita Sophos Managed Detection and Response (MDR).
Equipo Prensa
Portal Innova
