23 de julio de 2024Sala de prensaEspionaje cibernético / Hackers chinos Organizaciones de Taiwán y una organización no gubernamental (ONG) estadounidense con sede en China han sido blanco de un grupo de hackers patrocinado por el estado afiliado a Beijing llamado Daggerfly que utiliza un conjunto mejorado de herramientas de malware. La campaña es una señal de que el grupo «también se dedica al espionaje interno», dijo el equipo Threat Hunter de Symantec, parte de Broadcom, en un nuevo informe publicado hoy. «En el ataque a esta organización, los atacantes explotaron una vulnerabilidad en un servidor HTTP Apache para distribuir su malware MgBot». Daggerfly, también conocida por los nombres Bronze Highland y Evasive Panda, fue observada anteriormente utilizando el marco de malware modular MgBot en relación con una misión de recopilación de inteligencia dirigida a proveedores de servicios de telecomunicaciones en África. Se sabe que está en funcionamiento desde 2012. «Daggerfly parece ser capaz de responder a la exposición actualizando rápidamente su conjunto de herramientas para continuar con sus actividades de espionaje con una interrupción mínima», señaló la empresa. El último conjunto de ataques se caracteriza por el uso de una nueva familia de malware basada en MgBot, así como una versión mejorada de un conocido malware de macOS de Apple llamado MACMA, que fue expuesto por primera vez por el Grupo de Análisis de Amenazas (TAG) de Google en noviembre de 2021 como distribuido a través de ataques de abrevadero dirigidos a usuarios de Internet en Hong Kong abusando de fallas de seguridad en el navegador Safari. El desarrollo marca la primera vez que la cepa de malware, que es capaz de recolectar información confidencial y ejecutar comandos arbitrarios, se ha vinculado explícitamente a un grupo de piratas informáticos en particular. «Los actores detrás de macOS.MACMA al menos estaban reutilizando código de desarrolladores de ELF/Android y posiblemente también podrían haber estado apuntando a teléfonos Android con malware», señaló SentinelOne en un análisis posterior en ese momento. Las conexiones de MACMA con Daggerly también se derivan de superposiciones de código fuente entre el malware y Mgbot, y del hecho de que se conecta a un servidor de comando y control (C2) (103.243.212[.]98) que también ha sido utilizado por un dropper MgBot. Otro nuevo malware en su arsenal es Nightdoor (también conocido como NetMM y Suzafk), un implante que utiliza la API de Google Drive para C2 y que se ha utilizado en ataques de abrevadero dirigidos a usuarios tibetanos desde al menos septiembre de 2023. Los detalles de la actividad fueron documentados por primera vez por ESET a principios de marzo. «El grupo puede crear versiones de sus herramientas dirigidas a la mayoría de las principales plataformas de sistemas operativos», dijo Symantec, y agregó que ha «visto evidencia de la capacidad de troyanizar APK de Android, herramientas de interceptación de SMS, herramientas de interceptación de solicitudes DNS e incluso familias de malware dirigidas al sistema operativo Solaris». El desarrollo se produce cuando el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China (CVERC) afirmó que Volt Typhoon, que ha sido atribuido por las naciones de Five Eyes como un grupo de espionaje con nexo con China, es una invención de las agencias de inteligencia estadounidenses, describiéndolo como una campaña de desinformación. «Aunque sus principales objetivos son el Congreso de Estados Unidos y el pueblo estadounidense, también intenta[s] Difamar a China, sembrar discordias [sic] «Las relaciones entre China y otros países, frenar el desarrollo de China y robar a las empresas chinas», afirmó la CVERC en un informe reciente. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.