El actor de amenaza persistente avanzada (APT) respaldado por China, identificado como APT40, ha estado ocupado desarrollando su manual de estrategias y recientemente se lo ha observado apuntando activamente a nuevas víctimas al explotar vulnerabilidades en dispositivos de red de pequeñas oficinas y oficinas en el hogar (SoHo) como un puesto de preparación para la actividad de comando y control (C2) durante sus ataques. Esto es según una alerta internacional emitida por las agencias cibernéticas aliadas de Five Eyes de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU., así como organismos asociados de Alemania, Japón y Corea del Sur. Según el Centro Australiano de Seguridad Cibernética (ACSC), que fue la agencia líder en la alerta, APT40 ha atacado repetidamente redes tanto en Australia como en todo el mundo mediante este método. En dos estudios de caso publicados por las autoridades australianas, APT40 utilizó dispositivos SoHO comprometidos como infraestructura operativa y redirectores de «último salto» durante sus ataques, aunque uno de los efectos de hacerlo ha sido hacer que su actividad sea algo más fácil de caracterizar y rastrear. Las agencias describieron dichos dispositivos de red SoHo como objetivos mucho más fáciles para los actores maliciosos que sus equivalentes de grandes empresas. “Muchos de estos dispositivos SoHO están al final de su vida útil o no tienen parches y ofrecen un objetivo fácil para la explotación de N-day”, dijeron los australianos. “Una vez comprometidos, los dispositivos SoHO ofrecen un punto de lanzamiento para que los ataques se mezclen con el tráfico legítimo y desafíen a los defensores de la red. “Esta técnica también es utilizada regularmente por otros actores patrocinados por el estado de la República Popular China en todo el mundo, y las agencias autoras consideran que se trata de una amenaza compartida. “APT40 utiliza ocasionalmente infraestructura adquirida o arrendada como infraestructura C2 de cara a las víctimas en sus operaciones; sin embargo, esta técnica parece estar en relativo declive”, agregaron. El ACSC compartió detalles de un ciberataque APT40 al que respondió en agosto de 2022, durante el cual una IP maliciosa que se cree que está afiliada al grupo interactuó con la red de la organización objetivo durante un período de dos meses utilizando un dispositivo que probablemente pertenecía a una pequeña empresa o un usuario doméstico. Este ataque fue remediado antes de que APT40 pudiera causar demasiado daño. Mohammed Kazem, investigador principal de inteligencia de amenazas en WithSecure, dijo: “No hay indicios de que el ritmo o el impacto de las operaciones cibernéticas patrocinadas por el gobierno o el estado chino haya disminuido… en cambio, han seguido perfeccionando y refinando su técnica. Se han mostrado dispuestos a retirar métodos y herramientas que ya no funcionan en favor de otros nuevos, pero si bien sus TTP estándar han demostrado ser eficaces, han seguido utilizándolos felizmente. “Este aviso también destaca una tendencia compartida y creciente entre los actores de la República Popular China en los últimos años de apuntar a dispositivos periféricos a través de la explotación y aprovechar los dispositivos comprometidos como parte de su infraestructura y actividad de red. Creemos que estos actores emplean estas técnicas conscientemente para llevar a cabo operaciones más sigilosas que son más difíciles de rastrear y atribuir, pero que también desafían los mecanismos de seguridad y la supervisión convencionales”, dijo Kazem. Amenaza notable El grupo APT40, que también se conoce en varias matrices de proveedores como Kryptonite Panda, Gingham Typhoon, Leviathan y Bronze Mohawk, es un grupo muy activo que probablemente tenga su base en la ciudad de Haikou, en la provincia de Hainan, una isla frente a la costa sur de China, a unas 300 millas al oeste de Hong Kong. Recibe su tarea del Departamento de Seguridad del Estado de Hainan del Ministerio de Seguridad del Estado (MSS) de China. Es probable que haya sido uno de los varios APT implicados en una serie de ciberataques de 2021 orquestados a través de vulneraciones en Microsoft Exchange Server. En julio de ese año, las autoridades estadounidenses acusaron a cuatro miembros del grupo de ataques dirigidos a los sectores de la aviación, la defensa, la educación, el gobierno, la atención sanitaria, la biofarmacéutica y el marítimo. En esta campaña, APT40 robó propiedad intelectual sobre vehículos sumergibles y autónomos, fórmulas químicas, servicio de aeronaves comerciales, tecnología de secuenciación genética, investigación sobre enfermedades como el ébola, el VIH/SIDA y el MERS, e información para apoyar los intentos de ganar contratos para las empresas estatales de China. APT40 se considera una amenaza particularmente notable gracias a sus capacidades avanzadas: es capaz de transformar y explotar rápidamente pruebas de concepto (PoC) de nuevas vulnerabilidades y activarlas contra las víctimas, y los miembros de su equipo realizan reconocimientos regulares contra redes de interés en busca de oportunidades para usarlas. Ha sido un usuario entusiasta de algunas de las vulnerabilidades más extendidas y notables de los últimos años, incluidas las de Log4j; de hecho, sigue teniendo éxito explotando algunos errores que datan de 2017. El grupo parece favorecer el ataque a la infraestructura pública en lugar de técnicas que requieren la interacción del usuario (como el phishing por correo electrónico) y otorga gran valor a la obtención de credenciales válidas para usar en sus ataques. Mitigación de una intrusión de APT40 Las mitigaciones prioritarias para los defensores incluyen mantener actualizado el registro, la gestión rápida de parches y la implementación de la segmentación de la red. Los equipos de seguridad también deben tomar medidas para deshabilitar servicios de red, puertos o firewalls no utilizados o innecesarios, implementar firewalls de aplicaciones web (WAF), aplicar políticas de privilegios mínimos para limitar el acceso, aplicar la autenticación multifactor (MFA) en todos los servicios de acceso remoto accesibles por Internet, reemplazar el kit al final de su vida útil y revisar las aplicaciones personalizadas para detectar funcionalidades potencialmente explotables.