24 de julio de 2024Sala de prensaEspionaje cibernético / Inteligencia de amenazas El actor de amenazas conocido como Patchwork ha sido vinculado a un ciberataque dirigido a entidades con vínculos con Bután para entregar el marco Brute Ratel C4 y una versión actualizada de una puerta trasera llamada PGoShell. El desarrollo marca la primera vez que se observa al adversario usando el software de equipo rojo, dijo el equipo Knownsec 404 en un análisis publicado la semana pasada. El grupo de actividad, también llamado APT-C-09, Dropping Elephant, Operation Hangover, Viceroy Tiger y Zinc Emerson, es un actor patrocinado por un estado probablemente de origen indio. Conocido por realizar ataques de spear-phishing y watering hole contra China y Pakistán, se cree que el equipo de piratas informáticos está activo desde al menos 2009, según los datos compartidos por la firma de ciberseguridad china QiAnXin. El pasado mes de julio, Knownsec 404 reveló detalles de una campaña de espionaje dirigida a universidades y organizaciones de investigación en China que utilizaba un implante basado en .NET con el nombre en código EyeShell para obtener y ejecutar comandos desde un servidor controlado por el atacante, ejecutar cargas útiles adicionales y capturar capturas de pantalla. Luego, a principios de febrero, se descubrió que el actor de la amenaza había empleado señuelos con temática romántica para atrapar a las víctimas en Pakistán y la India y comprometer sus dispositivos Android con un troyano de acceso remoto denominado VajraSpy. El punto de partida de la última cadena de ataque observada es un archivo de acceso directo de Windows (LNK) que está diseñado para descargar un documento PDF señuelo de un dominio remoto que se hace pasar por el Fondo de Adaptación respaldado por la CMNUCC, mientras se implementa sigilosamente Brute Ratel C4 y PGoShell recuperados de un dominio diferente («beijingtv[.]org»). «PGoShell está desarrollado en el lenguaje de programación Go; en general, ofrece un amplio conjunto de funcionalidades, incluidas capacidades de shell remotas, captura de pantalla y descarga y ejecución de cargas útiles», dijo la empresa de ciberseguridad. El desarrollo se produce meses después de que APT-K-47, otro actor de amenazas que comparte superposiciones tácticas con SideWinder, Patchwork, Confucius y Bitter, fuera atribuido a ataques que involucraban el uso de ORPCBackdoor, así como malware previamente no documentado como WalkerShell, DemoTrySpy y NixBackdoor para recolectar datos y ejecutar shellcode. Los ataques también son notables por implementar un marco de comando y control (C2) de código abierto conocido como Nimbo-C2, que «habilita una amplia gama de funcionalidades de control remoto», dijo Knownsec 404. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.