Un grupo de hackers chino se ha atribuido una nueva campaña destinada a infectar a cargos gubernamentales de Europa, Oriente Medio y Sudamérica con un malware modular conocido como PlugX. La empresa de ciberseguridad Secureworks dijo que identificó las intrusiones en junio y julio de 2022, lo que demuestra una vez más que el enfoque del grupo agresor es el espionaje contra los gobiernos de todo el mundo. |
"PlugX es un malware modular que se pone en contacto con un servidor de comando y control (C2) para la asignación de tareas y puede descargar plugins adicionales para mejorar su capacidad más allá de la recopilación de información básica", explicó la Unidad de Contraamenazas (CTU) de Secureworks en un informe compartido con The Hacker News.
Bronze President es un actor de amenazas con sede en China, activo desde al menos julio de 2018, y se estima que es un grupo patrocinado por el Estado que aprovecha una combinación de herramientas propietarias y disponibles públicamente para comprometer y recopilar datos de sus objetivos.
También está documentado públicamente bajo otros nombres como HoneyMyte, Mustang Panda, Red Lich y Temp.Hex. Una de sus principales herramientas es PlugX, un troyano de acceso remoto que ha sido ampliamente compartido entre los colectivos de adversarios chinos.
A principios de este año, se observó que el grupo tenía como objetivo a funcionarios del gobierno ruso con una versión actualizada del backdoor PlugX llamada Hodur, junto con entidades ubicadas en Asia, la Unión Europea y los Estados Unidos.
La atribución por parte de Secureworks de la última campaña a Bronze President se debe al uso de PlugX y de documentos de señuelo de temática política que se alinean con regiones de importancia estratégica para China.
Las cadenas de ataque distribuyen archivos RAR que contienen un archivo de acceso directo de Windows (.LNK) que se hace pasar por un documento PDF, cuya apertura ejecuta un archivo legítimo presente en una carpeta oculta anidada dentro del archivo.
Esto allana el camino para dejar caer un documento señuelo, mientras que la carga útil PlugX establece la persistencia en el host infectado.
"El Bronze President ha demostrado su capacidad para pivotar rápidamente en busca de nuevas oportunidades de recopilación de información", afirman los investigadores. "Las organizaciones en las regiones geográficas de interés para China deben vigilar de cerca las actividades de este grupo, especialmente las organizaciones asociadas o que operan como agencias gubernamentales".
Fuente: https://thehackernews.com/2022/09/chinese-hackers-target-government.html