Ciberguerra / Ataques de Estados-nación, Gestión del fraude y delitos cibernéticos El actor de la amenaza es probablemente un operador de ciberespionaje de PekínPrajeet Nair (@prajeetspeaks) • 9 de septiembre de 2024 Una probable operación de ciberespionaje chino ha estado atacando a los fabricantes de vehículos aéreos no tripulados de Taiwán. (Imagen: Shutterstock) Un grupo de piratas informáticos de habla china tiene como objetivo a los fabricantes de drones en Taiwán y otras industrias relacionadas con el ejército en el país insular ubicado aproximadamente a 100 millas de China continental. Ver también: Seminario web | 2024 Phishing Insights: Lo que 11,9 millones de comportamientos de los usuarios revelan sobre su riesgo Trend Micro dijo el viernes que rastrea al actor de amenazas como «Tidrone». Factores como los tiempos de complicación de archivos y sus horas de funcionamiento apuntan a que Tidrone «probablemente está siendo llevado a cabo por un grupo de amenazas de habla china aún no identificado» con fines de espionaje. Los atacantes de Tidrone utilizaron herramientas de escritorio remoto, incluida la utilidad de administración remota de código abierto UltraVNC, para implementar malware personalizado, incluidos Cxclnt y Clntend. Esta última es una herramienta de acceso remoto que TrendMicro detectó por primera vez en abril. El malware recopila información confidencial, evita los controles de seguridad y ejecuta cargas útiles maliciosas adicionales. China reclama a Taiwán como parte de su territorio nacional y ha tomado medidas para afirmar su dominio sobre el estrecho de Taiwán, especialmente bajo la tutela del líder chino Xi Jinping. El principal enviado de Estados Unidos a Taiwán prometió el miércoles que Estados Unidos «continuará manteniendo la capacidad de resistir cualquier recurso a la fuerza u otras formas de coerción contra Taiwán». El asesor de seguridad nacional de Estados Unidos, Jake Sullivan, se reunió con Xi a fines de agosto y luego dijo a los periodistas que enfatizó a Xi la «importancia de mantener la paz y la estabilidad en todo el estrecho de Taiwán». La agresión china en el ciberespacio contra Taiwán ha incluido campañas de desinformación y espionaje. Un ataque de ransomware en mayo de 2020 contra la estatal taiwanesa CPC Corp., el mayor proveedor de gasolina de la isla, tenía el sello de un ataque patrocinado por el estado. Los investigadores de seguridad han rastreado recientemente una brecha en un instituto de investigación afiliado al gobierno de Taiwán hasta un grupo de piratas informáticos de Pekín comúnmente identificado como APT41. El Departamento de Justicia de Estados Unidos acusó a los miembros de APT41 en 2020 de implementar ransomware y otro malware para atacar a más de 100 empresas y gobiernos de todo el mundo. TrendMicro advirtió que Tidrone no es solo una preocupación para los ciberdefensores taiwaneses, ya que «la telemetría de VirusTotal indica que los países objetivo son variados». Los operadores de Tidrone emplean técnicas como eludir el Control de cuentas de usuario, volcar credenciales y deshabilitar el software antivirus durante la postexplotación para mantener la persistencia dentro de los sistemas comprometidos. El análisis de los investigadores encontró que las cadenas de infección apuntan a un probable ataque a la cadena de suministro. La presencia de software ERP en los entornos de múltiples víctimas sugiere que el malware podría distribuirse a través de esta plataforma. El malware Cxclnt puede cargar y descargar archivos, borrar rastros del sistema y recopilar datos de las víctimas, como listados de archivos e información del sistema. También puede descargar y ejecutar archivos ejecutables portátiles. Clntend es una herramienta de acceso remoto más avanzada que admite múltiples protocolos de red para la comunicación encubierta con sus servidores de comando y control. Las capacidades del malware sugieren que se utiliza para la vigilancia a largo plazo y la recopilación de datos dentro de las organizaciones objetivo. Tridone emplea técnicas antianálisis para evadir la detección, incluida la verificación del proceso principal de las aplicaciones y el enganche de API comunes como GetProcAddress para alterar el flujo de ejecución del malware. URL de la publicación original: https://www.databreachtoday.com/hackers-target-taiwan-uav-military-industries-a-26237