Gestión de riesgos de terceros, guerra cibernética/ataques a Estados-nación, gestión de fraude y delitos cibernéticos El actor de amenazas chino ‘Velvet Ant’ evadió la detección durante años en la red de víctimasChris Riotta (@chrisriotta) •18 de junio de 2024 Imagen: Shutterstock Un actor de amenazas chino conocido como “ Velvet Ant” utilizó herramientas y técnicas patrocinadas por el estado para llevar a cabo una campaña de ciberespionaje mientras estaba escondido durante tres años en una red propiedad de una importante empresa, según una nueva investigación. Ver también: Análisis de malware destacado: Por qué su EDR permitió que Pikabot saltara Los investigadores de Sygnia en una publicación de blog el lunes dijeron que el grupo de hackers explotó dos dispositivos F5 BigIP heredados que incluían sistemas operativos vulnerables. Los investigadores describieron a Velvet Ant como «un actor de amenazas sofisticado e innovador» que evadió la detección durante años mientras explotaba varios puntos de entrada en la infraestructura de red de la víctima. «Después de descubrir y remediar un punto de apoyo, el actor de la amenaza giró rápidamente hacia otro, demostrando agilidad y adaptabilidad para evadir la detección», dijeron los investigadores, y agregaron que el incidente «destaca la importancia de establecer estrategias de defensa resilientes contra amenazas sofisticadas». Velvet Ant logró una “persistencia notable” al explotar el equilibrador de carga F5 Big-IP para obtener múltiples puntos de apoyo en la red y manipular de forma encubierta el tráfico de la red. Los investigadores no nombraron la organización víctima. Sygnia, una empresa de servicios y tecnología cibernética, dijo que finalmente logró erradicar a Velvet Ant de la red. Pero la firma dijo que el proceso «se parecía a un juego implacable del gato y el ratón», ya que el actor de la amenaza «resurgió una y otra vez mediante el uso de mecanismos de persistencia inactivos en sistemas no monitoreados». Velvet Ant comenzó sus operaciones centrándose en secuestrar la ejecución y el flujo, según los investigadores, y finalmente explotó una herramienta llamada PlugX (que desde entonces ha sido ampliamente reemplazada por su sucesor, ShadowPad) para obtener capacidades casi administrativas en sistemas infectados. Los investigadores recomiendan que las organizaciones limiten el tráfico saliente y el movimiento lateral en sus redes para evitar enfrentar un ataque similar. Sygnia también dijo que las empresas deberían priorizar el desmantelamiento y el reemplazo de la tecnología heredada y mitigar la recolección de credenciales para proteger mejor los sistemas. URL de la publicación original: https://www.databreachtoday.com/researchers-uncover-chinese-hacking-cyberespionage-campaign-a-25558