Dos nuevas campañas de ciber-espionaje operando en China

0

Volvemos a relacionar China con ciber-espionaje. Expertos de seguridad del laboratorio FireEye han descubierto dos campañas de hacking y espionaje en curso. Ambas tienen origen en China y parecen estar coordinadas entre sí.

Hacker operando desde China

FireEye ha comenzado y continuará publicando detalles sobre estas campañas de ciber-espionaje chino, situadas en diferentes regiones en China.

Primera campaña de ciber-espionaje en China

De nombre Moafee, parece estar operando en la provincia de Guandong. Sus objetivos incluyen organizaciones militares y gubernamentales de países con intereses en el Mar del Sur de la región de China. Incluyen algunos objetivos norteamericanos, de la rama de Defensa. El motivo aparente es la riqueza que se mueve en la región del Mar del Sur de China -según la Wikipedia, la segunda mayor ruta marítima del mundo- incluye materiales raros: metales, petróleo y gas natural.

Segunda campaña en la región

Su nombre es DragonOK y persigue intereses relacionados con industrias y alta tecnología de compañías ubicadas en Japón y Taiwan. Su objetivo aparente es, por tanto, la obtención de secretos industriales que otorguen ventajas comerciales en la zona. Está ubicado en la provincia de Jiangsu.

Parece que ambos grupos, aunque operan en diferentes regiones:

  • Colaboran entre sí.
  • Reciben entrenamiento similar.
  • Comparten una cadena de suministro de herramientas.
  • En algunos casos solapan sus actividades en el mismo escenario.

Aparentemente estarían siguiendo un modo de trabajo de “línea de producción”, haciendo cada grupo una parte del trabajo para iniciar ciber-ataques que derriben las defensas del objetivo.

Funcionamiento en paralelo

Ambas campañas utilizan herramientas, procedimientos y técnicas similares, incluyendo la construcción de backdoors(puertas traseras) hechas a medida y RATs (Remote Administration Tools) para infiltrarse en las redes de las víctimas.

Moafee y DragonOK utilizan una herramienta de Proxy bastante popular -HUC Packet Transmit Tool- para camuflar sus ubicaciones reales. Ambas emplean documentos protegidos por encriptado y contraseña para disfrazar sus ataques. Estos y otros procedimientos similares sugieren que ambos grupos poseen algún tipo de asociación para llevar a cabo sus objetivos.

Información proporcionada por FireEye sobre grupos de espionaje chino

Un tercer grupo, actuando por separado, también comparte estas armas, incluyendo las puertas traseras personalizadas y los RATs. Sin embargo, FireEye no tiene aún pruebas suficientes para establecer una conexión de este último grupo con DragonOK y Moafee.

Funcionamiento en la sombra

Ambas campañas se apoyan en ataques tipo spear-phishing vía email, como principal vector de entrada a las redes. Como en cualquier ataque spear-phishing que se precie, los emails están cuidadosamente diseñados en cuanto a contenido y forma para llegar a un público específico, en lenguaje nativo.

Los ejecutables se mandan normalemente en archivos comprimidos en ZIP o como documento protegido por contraseña de Office. También se han observado documentos que actuan solo como señuelo, mientras el malware funciona en segundo plano.


Los grupos emplean varios procedimientos para permanecer ocultos y no levantar sospechas en antivirus y firewalls:

  • Comprobación del número de núcleos del procesador y terminando la operación si se trata de procesadores mono-núcleo.
  • Adjuntando documentos protegidos por contraseña y proporcionando la contraseña para desbloquearlos en el email.
  • Envío de archivos grandes rellenados con bytes nulos o vacíos innecesarios, para así dejar atrás algunos antivirus y mecanismos de seguridad que tienen un límite de tamaño de archivo para funcionar.

Herramientas adicionales

Como hemos dicho, DragonOK y Moafee comparten los mismos RATs, algunos de ellos de desarrollo propio, otros disponibles públicamente.

Herramientas de “solapamiento” usadas:

  • CT/NewCT/NewCT2
  • Mongall
  • Nflog
  • PoisonIvy

Se ha comrpobado que Moafee utiliza proxys HTRAN en sus múltiples C2 o servidores de control. Todos emplean la red CHINANET y están hospedados en la provincia de Guandong. En el grupo Dragon OK todo es igual, salvo la provincia donde están hospedados los servidores: Jiangsu.

Valora y comparte!

  • User Ratings (1 Votes)
    8.7
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR