La APT china apunta a las empresas de telecomunicaciones en …



La telemetría sugiere que el actor de la amenaza detrás de la Operación Dianxun es Mustang Panda, dice McAfee.

Un actor chino de amenazas persistentes avanzadas (APT) está apuntando a las principales empresas de telecomunicaciones de EE. UU., Europa y el sudeste asiático en una campaña de ciberespionaje que parece diseñada para robar datos relacionados con la tecnología 5G.

La campaña, denominada Operación Diànxùn, probablemente esté motivada por la prohibición del uso de tecnología china en los lanzamientos de 5G en varios países, dice McAfee en un nuevo informe. Según el proveedor de seguridad, el actor de amenazas detrás de la campaña está utilizando métodos asociados con Mustang Panda, un grupo que varios proveedores de seguridad han identificado previamente como que trabaja para el gobierno chino.

Los datos relacionados con la Operación Diànxùn muestran que las víctimas fueron atraídas a un sitio internet que pretendía ser una página de carrera para Huawei, ampliamente considerado como el líder en el espacio 5G. Varios gobiernos, incluido EE. UU., Han prohibido el uso de la tecnología 5G de Huawei por temor a que pueda contener puertas traseras que permitan un espionaje generalizado. Sin embargo, no hay nada que indique que Huawei esté conectado de alguna manera con la genuine campaña de amenazas, dice McAfee.

Según para el proveedor de seguridad, no está claro cómo los atacantes atrajeron inicialmente a las víctimas al sitio de phishing. Pero una vez que las víctimas llegaron allí, fueron recibidas con una página world-wide-web que se parecía mucho al sitio de carreras de Huawei. Los atacantes utilizaron el sitio world-wide-web falso para descargar malware que se hizo pasar por una aplicación Flash. El sitio desde el que se descargó la aplicación Flash también se diseñó cuidadosamente para que aparezca como la página net oficial en China para el sitio de descarga de Flash. El malware, entre otras cosas, descargó el kit de ataque Cobalt Strike en los sistemas comprometidos.

Thomas Roccia, investigador senior de seguridad del grupo de Investigación de Amenazas Avanzadas de McAfee, dice que la telemetría disponible sugiere que Mustang Panda es el grupo detrás de la real campaña de amenazas Operation Diànxùn. «Los objetivos están principalmente en el sector de las telecomunicaciones», dice. «La mayoría de las organizaciones en las que hemos observado impactos de telemetría expresaron preocupaciones con respecto al lanzamiento de la tecnología 5G de China», lo que sugiere que la campaña está ligada a la carrera world-wide para implementar tecnología de comunicaciones de próxima generación, dice.

Mustang Panda apareció por primera vez en 2014 y se ha asociado con ataques a organizaciones percibidas como de interés para el gobierno chino. En 2017, CrowdStrike informó haber observado a miembros de Mustang Panda dirigidos a un grupo de expertos con sede en EE. UU. y varias organizaciones no gubernamentales con un nexo con Mongolia y el gobierno de Mongolia.

Más recientemente, entre mayo y septiembre de 2020, varios proveedores de seguridad (incluidos McAfee y Futuro grabado) observó a un grupo que usaba métodos similares a Mustang Panda dirigidos al Vaticano y otras organizaciones católicas en Hong Kong e Italia. Las intrusiones ocurrieron antes de una renovación planificada de un acuerdo de 2018 entre China y el Vaticano que involucra a la comunidad católica en China y parecían diseñadas para brindar inteligencia anticipada a Beijing sobre la posición negociadora de la Santa Sede, dijo Recorded Foreseeable future. McAfee dice que también observó la actividad de amenazas de Mustang Panda en septiembre de 2020 que involucraba documentos señuelo relacionados con el catolicismo, las relaciones entre Tíbet y Ladakh y el Consejo de Seguridad de la Asamblea Typical de las Naciones Unidas.

Actor de amenaza única
Otros proveedores de seguridad, como Recorded Long term, han atribuido los ataques del año pasado contra el Vaticano y otras entidades religiosas a un grupo llamado RedDelta. Pero Roccia dice que el análisis de McAfee muestra que solo hay un actor detrás de la campaña Operación Diànxùn en curso y los que están contra las instituciones religiosas el año pasado. «McAfee cree con un alto nivel de confianza que la campaña se puede atribuir a Mustang Panda», dice Roccia. «Si bien la investigación anterior mencionó a RedDelta y Mustang Panda como dos grupos separados, creemos, según nuestra investigación, que Mustang Panda y RedDelta son, de hecho, el mismo grupo de amenazas».

La mayoría de los ataques anteriores que ha llevado a cabo Mustang Panda han implicado el uso de PlugX, un troyano de acceso remoto que varios grupos de atacantes han utilizado desde al menos 2008 para robar archivos y modificar archivos, descargar malware, registrar pulsaciones de teclas y controlar la cámara world wide web de un ordenador. . Sin embargo, con Operation Diànxùn, el grupo de amenazas ha evitado el uso de ese método en distinct, aunque continúa usando Cobalt Strike como lo ha hecho en campañas anteriores, según McAfee.

McAfee aboga por que las organizaciones implementen un enfoque de seguridad multicapa para abordar amenazas como las presentadas por Mustang Panda y otros grupos de APT. Las capacidades como las comprobaciones de reputación de URL, el descifrado de SSL y la emulación de malware son fundamentales para analizar Flash, .Internet y otros contenidos website activos que se pueden convertir fácilmente en armas. Las organizaciones también deben tener capacidades de análisis de firmas y de comportamiento para detectar amenazas dirigidas al entorno de punto remaining empresarial. También son críticos los controles para detectar y bloquear las comunicaciones entre los sistemas host comprometidos y los servidores externos de comando y management y para identificar de manera proactiva los mecanismos de persistencia y evasión de la defensa, según McAfee.

El site del proveedor de seguridad ha enumerado los indicadores de compromiso y métodos operativos asociados con la Operación Diànxùn junto con consejos sobre cómo protegerse contra la amenaza.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original