Guerra cibernética / Ataques de Estados-nación, Gestión del fraude y delitos cibernéticos, Enfoque geográfico: Asia Symantec rastrea los ataques de 2021 en Hong Kong Waterhole hasta DaggerflyPrajeet Nair (@prajeetspeaks) • 23 de julio de 2024 Una protesta masiva en Hong Kong el 1 de enero de 2020. (Imagen: Shutterstock) Los investigadores de seguridad dicen que han rastreado una serie de ataques de puerta trasera durante 2021 contra activistas pro democracia en Hong Kong hasta un grupo de ciberespionaje chino que recientemente ha rediseñado su arsenal. Ver también: ¿Preferirías ser inteligente en la nube o prioritario en la nube en el gobierno? El grupo, rastreado por el equipo de cazadores de amenazas de Symantec como Daggerfly, probablemente esté detrás de la puerta trasera Macma previamente no atribuida cargada en dispositivos iPhone y macOS. El actor de amenazas, que probablemente cuenta con el respaldo de un estado, distribuyó el malware a través de ataques de abrevadero dirigidos a los visitantes en línea de un medio de comunicación de Hong Kong y un «destacado grupo político y laboral prodemocrático», dijeron los investigadores de Google en 2021. Hong Kong fue escenario de protestas masivas contra el autoritarismo chino entre 2019 y 2020. Las protestas a menor escala continuaron en 2021 a pesar de la nueva pandemia de coronavirus y la represión policial. El grupo de piratas informáticos, también rastreado como Evasive Panda y Bronze Highland, está utilizando nuevas iteraciones de Macma que incluyen una funcionalidad de captura de pantalla mejorada y una nueva lógica para recopilar la lista del sistema de un archivo. Symantec detectó anteriormente a Daggerfly atacando a una «organización de telecomunicaciones» en África durante 2023. Los investigadores de inteligencia de amenazas dicen que pudieron vincular Macma con Daggerfly al identificar la superposición con otra herramienta conocida de Daggerfly, el marco de malware modular MgBot. Dos variantes de la puerta trasera Macma conectadas a un servidor de comando y control también se utilizaron para lanzar MgBot. Ambas aplicaciones también contienen código “de una única biblioteca o marco compartido”. Los actores de amenazas detrás de Daggerfly también están implementando una nueva puerta trasera de Windows, denominada Trojan.Suzafk o Nightdoor, identificada por primera vez por los investigadores de Eset a principios de este año. Suzafk, como lo rastrea Symantec, es una puerta trasera de múltiples etapas capaz de usar TCP o OneDrive para comunicaciones de comando y control. Su cargador descarga archivos como Engine.dll y MeituUD.exe, siendo este último una aplicación legítima reutilizada para uso malicioso. Engine.dll establece la persistencia a través de tareas programadas y carga la carga útil final en la memoria. URL de la publicación original: https://www.databreachtoday.com/chinese-cyberespionage-group-expands-malware-arsenal-a-25823