Kaspersky presenta una nueva campaña de ciberespionaje en APAC



Un grupo relacionado con el grupo de amenazas de habla china Cycldek está apuntando a organizaciones gubernamentales y militares en Vietnam.

Los investigadores de Kaspersky han descubierto una avanzada campaña de ciberespionaje dirigida a organizaciones gubernamentales y militares en Vietnam.

Creen que esta campaña fue realizada por un grupo relacionado con Cycldek, un grupo de amenazas de habla china que ha estado activo desde al menos 2013. Las nuevas tácticas vistas en esta campaña representan «un avance importante en términos de sofisticación», dice Kaspersky en un comunicado sobre los hallazgos.

La inclinación por compartir técnicas y metodologías es común entre los actores de amenazas de habla china. Cuando los investigadores vieron a los atacantes usando una táctica bien conocida, «la tríada de carga lateral de DLL», en este campo recién descubierto, inmediatamente se dieron cuenta.

DLL, o bibliotecas de enlace dinámico, son fragmentos de código destinados a ser utilizados por otros programas en una computadora. En esta campaña, la cadena de infección de carga lateral DLL ejecuta un shellcode que descifra un troyano de acceso remoto que Kaspersky llama FoundCore. Esto les da a los atacantes un control total sobre un dispositivo infectado.

«Más interesante, sin embargo, fue el método utilizado para proteger el código malicioso del análisis un método que indica un gran avance en la sofisticación para los atacantes en esta región», explica Kaspersky en un comunicado. «Los encabezados (el destino y la fuente del código) de la carga útil last se eliminaron por completo, y los pocos que quedaron contenían valores incoherentes. Al hacer esto, los atacantes hacen que sea significativamente más difícil para los investigadores realizar ingeniería inversa del malware para su análisis. . «

Los componentes de esta cadena de infección en certain están estrechamente acoplados, lo que significa que las piezas individuales pueden ser difíciles o imposibles de analizar de forma aislada. Esto puede evitar que los analistas obtengan una imagen completa de la actividad maliciosa.

El análisis sugiere que esta actividad fue realizada por un grupo relacionado con Cycldek, también conocido como Goblin Panda y Conimes. Cycldek ha estado utilizando una variedad de herramientas, tácticas y procedimientos en ataques contra agencias gubernamentales en Vietnam, Laos y Tailandia desde 2018. El año pasado, la investigación de Kaspersky reveló información previamente desconocida que sugiere que sus operadores tenían un punto de apoyo en las redes de varios perfiles de objetivos en estos países.

Se incluyen más detalles sobre la investigación de hoy en este presione soltar.

Speedy Hits de Darkish Reading ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente authentic de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial