Un grupo de ciberespionaje auspiciado por el gobierno de China habría comprometido múltiples redes informáticas en seis estados de E.U. mediante la explotación de una peligrosa vulnerabilidad en un sistema de conteo para la industria ganadera como parte de una escalada en los ataques cibernéticos contra organizaciones públicas y privadas en occidente.
Acorde a los investigadores de Mandiant, los hackers de APT41 o Double Dragon, uno de los grupos de hacking más peligrosos de China, explotó una vulnerabilidad día cero en USAHerds, una aplicación utilizada por los funcionarios de agricultura para rastrear la salud y la densidad del ganado en E.U.
Después de explotar la falla, los hackers implementaron una variante de malware para Windows, forzando un reinicio del sistema de forma periódica como una tarea programada para garantizar la persistencia del malware en el sistema.
Rufus Brown, investigador de Mandiant, mencionó: “APT41 se ha centrado principalmente en las redes de los gobiernos estatales en E.U., y también en algunas áreas al sur de Asia”. El experto menciona que los atacantes recurren a toda clase de variantes de hacking, incluyendo inyecciones SQL, ataques de deserialización, e incluso la explotación de la peligrosa vulnerabilidad en Log4j.
En su reporte, Mandiant reconoce que aún hay poca información sobre los potenciales objetivos que esta campaña persigue, por lo que la investigación seguirá en curso hasta que los especialistas tengan información más concluyente.
Por otra parte, un reporte de Proofpoint publicó una investigación sobre un grupo de hacking identificado como TA416, una operación completamente diferente a APT41: “Creemos que las tácticas utilizadas por ambos actores son muy distintas y no vemos paralelismos entre estos grupos”, menciona el director de amenazas de Proofpoint Sherrod DeGrippo.
Según el reporte, este grupo ha estado explotando algunas vulnerabilidades para entregar URLs maliciosas e instalar cargas útiles del malware PlugX. Los investigadores mencionan que TA416 es responsable de una campaña dirigida contra entidades gubernamentales y diplomáticas en Europa, que inició hace un par de semanas con la invasión militar de Rusia a Ucrania.
TA416 entrega la carga maliciosa de PlugX usando emails con enlaces a un perfil de Dropbox de forma muy similar a una campaña detectada en 2014 y que empleaba el mismo troyano de acceso remoto (RAT).
Estas campañas siguen activas, por lo que los investigadores y organizaciones afectadas siguen buscando las mejores formas de prevenir mayores incidentes de seguridad en el futuro cercano.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.