Múltiples campañas de ciberespionaje que permanecieron sin atribuir a lo largo de los años ahora se han relacionado con un solo actor de amenaza que los investigadores llamaron PKPLUG, atacando objetivos en toda Asia.
El adversario ha estado activo durante al menos seis años y depende de una variedad de malware personalizado y disponible públicamente. Algunas de las herramientas utilizadas se observaron en campañas de otros grupos de ataque.
Los investigadores de la Unidad 42 de Palo Alto Networks vieron al adversario entregar la puerta trasera PlugX así como el malware Android HenBox, la puerta trasera Farseer para Windows, los troyanos 9002 y Zupdax y la herramienta de acceso remoto Poison Ivy.
El nombre PKPLUG proviene del actor que usa PlugX dentro de los archivos ZIP, que son identificables por los bytes mágicos ASCII "PK" en el encabezado.
Los investigadores determinaron que PKPLUG fue responsable de una campaña en noviembre de 2013 descrita por Blue Coat Labs (adquirida por Symantec) para apuntar a individuos mongoles con PlugX.
Tres años después, Arbor Network informó que Poison Ivy estaba siendo utilizada en un ataque contra objetivos en Myanmar y otros países de Asia, que la Unidad 42 ahora atribuye a PKPLUG.
A partir de 2016, los investigadores de la Unidad 42 encontraron campañas adicionales del mismo grupo dirigidas a individuos de Myanmar, la minoría uigur, el Tíbet, Vietnam, Indonesia y Taiwán.
Superposición de infraestructura
Los investigadores encontraron superposiciones de infraestructura para las diferentes campañas, así como entre las familias de malware utilizadas por el adversario.
PKPLUG reutilizó los nombres de dominio y las direcciones IP y los comportamientos de tiempo de ejecución del programa o las características del código estático ayudaron a fortalecer las conexiones.
Las huellas que dejó el atacante son claras. En al menos cuatro de las seis campañas aparentemente no relacionadas documentadas por múltiples equipos de seguridad, se utilizó un conjunto compartido de direcciones IP para la comunicación de malware con los servidores de comando y control (C2).
Además, el mismo registrante aparece para varios nombres de dominio alojados en esas direcciones. Un diagrama simplificado muestra estas conexiones, aunque la superposición va mucho más allá de esto.
Si bien Unit42 pudo vincular las campañas a un solo actor, los investigadores no están seguros de si son el trabajo del grupo de actores de amenazas o más que comparten las mismas herramientas del oficio.
Según el tipo de malware utilizado, el objetivo de estas operaciones cibernéticas parece ser rastrear a las víctimas y recopilar información de ellas.
Los investigadores creen con un alto grado de confianza que PKPLUG está conectado con los adversarios del estado nación chino, una conclusión inferida del tipo de objetivos, el área operativa y el contenido de algunas piezas de malware.
Fecha actualización el 2021-10-04. Fecha publicación el 2019-10-04. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil