Noticias

ESET publica su último informe de APT

Los grupos alineados con China amplían la focalización

[11/11/2024] ESET Research ha publicado su último Informe de Actividad de APT, que destaca las actividades de grupos seleccionados de amenazas persistentes avanzadas (APT) que fueron documentadas por los investigadores de ESET desde abril del 2024 hasta finales de septiembre del 2024. Según lo señalado en el comunicado de prensa, ESET observó una notable expansión en la segmentación por parte de MirrorFace, alineada con China. Normalmente centrado en entidades japonesas, amplió sus operaciones para incluir una organización diplomática en la Unión Europea por primera vez, sin dejar de dar prioridad a sus objetivos japoneses. Además, los grupos APT alineados con China han dependido cada vez más de la VPN SoftEther de código abierto y multiplataforma para mantener el acceso a las redes de las víctimas. Los investigadores también observaron indicios de que los grupos alineados con Irán podrían estar aprovechando sus capacidades cibernéticas para apoyar el espionaje diplomático y, potencialmente, las operaciones cinéticas.

"Con respecto a los grupos de amenazas alineados con China, detectamos un uso extensivo de SoftEther VPN por parte de Flax Typhoon, observamos que Webworm cambió de su puerta trasera con todas las funciones para usar SoftEther VPN Bridge en máquinas pertenecientes a organizaciones gubernamentales en la UE, y notamos que GALLIUM implementó servidores SoftEther VPN en operadores de telecomunicaciones en África", comentó el director de Investigación de Amenazas de ESET, Jean-Ian Boutin. "Por primera vez, observamos que MirrorFace se dirigía a una organización diplomática dentro de la UE, una región que sigue siendo un punto focal para varios actores de amenazas alineados con China, Corea del Norte y Rusia. Muchos de estos grupos están particularmente enfocados en entidades gubernamentales y en el sector defensa", añadió.

El ejecutivo anotó que los grupos alineados con Irán, por otro lado, comprometieron varias empresas de servicios financieros en África, un continente geopolíticamente importante para Irán, llevaron a cabo ciberespionaje contra Irak y Azerbaiyán, países vecinos con los que Irán tiene relaciones complejas, y aumentaron su participación en el sector del transporte en Israel. "A pesar de este objetivo geográfico aparentemente estrecho, los grupos alineados con Irán mantuvieron un enfoque global, persiguiendo a los enviados diplomáticos en Francia y a las organizaciones educativas en Estados Unidos.

Países y sectores destinatarios.

Boutin agregó que los actores de amenazas alineados con Corea del Norte persistieron en su búsqueda de fondos robados, tanto monedas tradicionales como criptomonedas. "Observamos que estos grupos continuaban sus ataques contra empresas de defensa y aeroespaciales en Europa y EE.UU., así como contra desarrolladores de criptomonedas, grupos de expertos y ONG. "Uno de estos grupos, Kimsuky, comenzó a abusar de los archivos de Microsoft Management Console, que suelen utilizar los administradores de sistemas, pero que pueden ejecutar cualquier comando de Windows. Además, varios grupos alineados con Corea del Norte con frecuencia hacen un mal uso de los servicios populares basados en la nube.

Y, por último, el ejecutivo anotó que ESET Research detectó grupos de ciberespionaje alineados con Rusia que con frecuencia se dirigen a servidores de correo web como Roundcube y Zimbra, generalmente con correos electrónicos de spearphishing que desencadenan vulnerabilidades XSS conocidas. "Además de que Sednit se dirige a entidades gubernamentales, académicas y relacionadas con la defensa en todo el mundo, ESET identificó a otro grupo alineado con Rusia, GreenCube, que robaba mensajes de correo electrónico a través de vulnerabilidades XSS en Roundcube. Otros grupos alineados con Rusia continuaron centrándose en Ucrania, con Gamaredon desplegando grandes campañas de spearphishing mientras reelaboraba sus herramientas utilizando y abusando de las aplicaciones de mensajería Telegram y Signal. Además, Sandworm utilizó su nueva puerta trasera de Windows llamada WrongSens. ESET también analizó el hackeo y la filtración pública de datos de la Agencia Polaca Antidopaje, que probablemente se vieron comprometidos por un corredor de acceso inicial que luego compartió el acceso con el grupo FrostyNeighbor APT, alineado con Bielorrusia, una entidad detrás de las campañas de desinformación cibernética críticas con la OTAN.

En Asia, indicó Boutin, ESET observó que las campañas seguían centrándose principalmente en las organizaciones gubernamentales. Sin embargo, la investigación también observó un mayor énfasis en el sector educativo, especialmente dirigido a investigadores y académicos centrados en la península coreana y el sudeste asiático. "Este cambio fue impulsado por actores de amenazas alineados con los intereses de China y Corea del Norte. Lazarus, uno de los grupos alineados con Corea del Norte, continuó atacando entidades de todo el mundo en los sectores financiero y tecnológico. En Oriente Medio, varios grupos APT alineados con Irán continuaron atacando a organizaciones gubernamentales, siendo Israel el país más afectado.

En las últimas dos décadas, África se ha convertido en un importante socio geopolítico para China, y el ejecutivo anotó que han visto a grupos alineados con China expandir sus actividades en ese continente. En Ucrania, los grupos alineados con Rusia siguieron siendo los más activos, lo que afectó gravemente a las entidades gubernamentales, al sector de defensa y a los servicios esenciales como el suministro de energía, agua y calefacción.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »