Los ciberespías chinos entregaron malware a través de actualizaciones de software legítimas

Se ha observado que un actor chino de APT rastreado como Evasive Panda apunta a miembros de una organización no gubernamental (ONG) internacional con la puerta trasera MgBot, y el malware probablemente se entregó a través de los canales de actualización legítimos del popular software chino, informa la firma de ciberseguridad ESET.

Activo desde al menos 2012 y también conocido como Bronze Highland y Daggerfly, Evasive Panda es un grupo de ciberespionaje que históricamente apunta a individuos y entidades gubernamentales en China continental, India, Hong Kong, Macao, Malasia, Myanmar, Filipinas, Nigeria, Taiwán y Vietnam.

Durante aproximadamente una década, la APT ha estado confiando en un marco de malware modular personalizado que incluye la puerta trasera MgBot para espiar a las víctimas.

Mientras investigaba un ataque de puerta trasera MgBot observado en enero de 2022, ESET descubrió una campaña maliciosa más amplia que comenzó en 2020 y continuó durante 2021, y que se dirigió a personas en las provincias chinas de Gansu, Guangdong y Jiangsu.

La mayoría de las víctimas, descubrió ESET, son miembros de una ONG internacional que opera en dos de las provincias objetivo. También se identificó a una víctima en Nigeria.

Como parte de los ataques, la puerta trasera de MgBot probablemente se entregó a las víctimas a través de canales de actualización legítimos, ya sea un ataque a la cadena de suministro (a través de los servidores de actualización comprometidos de la aplicación legítima QQ de Tencent) o a través de ataques adversarios en el medio (AitM), donde los actores de amenazas comprometen la infraestructura de Internet.

“Con acceso a la infraestructura troncal del ISP, a través de medios legales o ilegales, Evasive Panda podría interceptar y responder a las solicitudes de actualización realizadas a través de HTTP, o incluso modificar paquetes sobre la marcha”, explicó ESET.

Según ESET, no hay suficiente evidencia para apoyar o descartar ninguna de las hipótesis a favor de la otra, dado que ambos métodos se han utilizado en ataques APT chinos anteriores.

Desarrollado en C ++ y confiando en complementos para expandir su funcionalidad, la puerta trasera MgBot utilizada en estos ataques permite a los atacantes recolectar grandes cantidades de información de las máquinas Windows de las víctimas.

El malware puede registrar pulsaciones de teclas, robar archivos de discos duros, unidades USB y CD, puede robar contenido del portapapeles, capturar audio, robar credenciales de múltiples aplicaciones (Outlook, Foxmail, Chrome, Firefox, FileZilla, Opera, QQBrowser, WinSCP y más) y robar cookies del navegador.

La mayoría de los complementos de la puerta trasera están diseñados para apuntar a aplicaciones chinas populares desarrolladas por Tencent, incluidas QQ, QQBrowser, Foxmail y WeChat.

Fuente: www.securityweek.com

You May Also Like

Los piratas informáticos utilizan los anuncios de Google para propagar el malware FatalRAT disfrazado de aplicaciones populares

Los ciberataques a gran escala podrían tener consecuencias catastróficas, advierte el Gobierno británico

“Escándalo de Ciberseguridad: Proveedor de Defensa Británico Sufre Fuga de Datos”