Identifican vínculos entre un grupo denominado "RedFoxtrot" y la Unidad 69010 del Ejército Popular
Una serie de campañas de ciberespionaje que se remontan a 2014 y se centraron en recopilar inteligencia militar de países vecinos se han vinculado a un aparato de inteligencia militar chino.
En un amplio informe publicado esta semana por Recorded Future, con sede en Massachusetts, de la firma de ciberseguridad Insikt Group dijo que identificó vínculos entre un grupo al que rastrea como "RedFoxtrot" y la Unidad 69010 del Ejército Popular de Liberación (PLA) que opera en Ürümqi, la capital de la Región Autónoma Uigur de Xinjiang en el país.
Anteriormente llamada Segunda Oficina de Reconocimiento Técnico de la Región Militar de Lanzhou, la Unidad 69010 es una cobertura militar para una Oficina de Reconocimiento Técnico (TRB) dentro del Departamento de Sistemas de Red (NSD) de la Fuerza de Apoyo Estratégico (SSF) de China.
La conexión con la Unidad 69010 del PLA se debe a lo que los investigadores dijeron que eran "medidas de seguridad operativas laxas" adoptadas por un sospechoso anónimo del actor de amenazas RedFoxtrot, cuya persona en línea reveló la dirección física de la oficina de reconocimiento y ha tenido un historial de afiliación con la antigua Academia de Comando de Comunicaciones del PLA en Wuhan.
Se observa que RedFoxtrot apunta a los sectores de gobierno, defensa y telecomunicaciones en Asia Central, India y Pakistán, con intrusiones en los últimos seis meses dirigidas contra tres contratistas de defensa y aeroespaciales indios, así como contra los principales proveedores de telecomunicaciones y agencias gubernamentales en Afganistán, India, Kazajstán y Pakistán.
"La actividad durante este período mostró un enfoque particular en los objetivos indios, que se produjo en un momento de intensas tensiones fronterizas entre la India y la República Popular de China", dijeron los investigadores.
Los ataques organizados por el adversario involucraron una variedad de herramientas de código abierto y cerrado que se han compartido entre los grupos de ciberespionaje chinos, incluidos PlugX, Royal Road RTF weaponizer, QUICKHEAL, PCShare, IceFog y Poison Ivy RAT.
También se observa el uso de la infraestructura AXIOMATICASYMPTOTE, que abarca una puerta trasera modular de Windows llamada ShadowPad que se ha atribuido previamente a APT41 y posteriormente compartida entre otros actores respaldados por el estado chino.
Además, los dominios registrados por RedFoxtrot - "inbsnl.ddns [.] info" y "adtl.mywire [.] org" - sugieren que el actor de la amenaza puede haber puesto su mirada en el proveedor de servicios de telecomunicaciones indio Bharat Sanchar Nigam Limited (BSNL) y una empresa con sede en Bengaluru llamada Alpha Design Technologies Limited (ADTL) que se especializa en la investigación y el desarrollo de sistemas de misiles, radares y satélites.
El desarrollo se produce más de tres meses después de que se descubriera otro grupo de amenazas vinculado a China, denominado RedEcho, que apuntaba a la red eléctrica de la India, incluida una planta de energía administrada por National Thermal Power Corporation (NTPC) Limited y Power System Operation Corporation Limited, con sede en Nueva Delhi.