Puede proporcionar al gobierno chino y a las empresas estatales ventajas políticas, económicas y militares
Un actor de amenazas que se presume es de origen chino se ha relacionado con una serie de 10 ataques dirigidos a Mongolia, Rusia, Bielorrusia, Canadá y los EE. UU. de enero a julio de 2021 que involucran el despliegue de un troyano de acceso remoto (RAT) en sistemas infectados, según una nueva investigación.
Las intrusiones se han atribuido a una amenaza persistente avanzada llamada APT31 (FireEye), que es rastreada por la comunidad de ciberseguridad bajo los apodos Zirconium (Microsoft), Judgment Panda (CrowdStrike) y Bronze Vinewood (Secureworks).
El grupo es un "actor de ciberespionaje en nexo con China centrado en obtener información que pueda proporcionar al gobierno chino y a las empresas estatales ventajas políticas, económicas y militares", según FireEye.
Positive Technologies, en un artículo publicado el martes, reveló un nuevo malware dropper que se utilizó para facilitar los ataques, incluida la recuperación de cargas útiles cifradas de la siguiente etapa desde un servidor remoto de comando y control, que posteriormente se decodifican para ejecutarlo en la puerta trasera.
El código malicioso viene con la capacidad de descargar otro malware, lo que podría poner a las víctimas afectadas en mayor riesgo, así como realizar operaciones de archivos, exfiltrar datos confidenciales e incluso borrarse a sí mismo de la máquina comprometida.
"El código para procesar el comando [de auto-eliminación] es particularmente intrigante: todos los archivos creados y las claves de registro se eliminan usando un archivo bat", dijeron los investigadores de Positive Technologies Denis Kuvshinov y Daniil Koloskov.
También es digno de mención particular las similitudes del malware con el de un troyano RAT llamado DropboxAES que fue utilizado el año pasado por el mismo grupo de amenazas y se basó en Dropbox para sus comunicaciones de comando y control (C2), con numerosas superposiciones encontradas en las técnicas y mecanismos utilizados para inyectar el código de ataque, lograr la persistencia y el mecanismo empleado para eliminar la herramienta de espionaje.
"Las similitudes reveladas con versiones anteriores de muestras maliciosas descritas por los investigadores, como en 2020, sugieren que el grupo está expandiendo la geografía de sus intereses a países donde se puede detectar su creciente actividad, Rusia en particular", concluyeron los investigadores.
