El presidente de bronce espía objetivos rusos mientras continúa la invasión de Ucrania

El presidente de bronce se ha desplazado potencialmente de Asia para centrarse en Rusia a medida que continúa la invasión de Ucrania.

También conocido como Mustang Panda, TA416 o RedDelta, el grupo chino de ciberespionaje ha estado activo desde al menos 2018 y tradicionalmente se ha centrado en recopilar inteligencia de ONG, institutos de investigación y proveedores de servicios de Internet (ISP).

Los países y regiones anteriores en la lista de resultados incluyen Europa, Mongolia, Rusia, Vietnam y Sudáfrica.

Según Secureworks Counter Threat Unit (CTU), el grupo está «patrocinado o al menos tolerado por el gobierno chino» y «parece estar cambiando su objetivo en respuesta a la situación política en Europa y la guerra en Ucrania».

Las campañas recientes se han centrado principalmente en el sudeste asiático, con objetivos infiltrados para el robo de datos «políticos y económicos» y la vigilancia continua a largo plazo. Sin embargo, CTU dice que el presidente de bronce ahora se ha centrado en los hablantes de ruso junto con las organizaciones europeas.

«Esto sugiere que los actores de amenazas han recibido tareas actualizadas que reflejan los cambiantes requisitos de recopilación de inteligencia de la República Popular China (RPC)», dicen los investigadores.

Los atacantes cibernéticos patrocinados por el gobierno, o tal vez tolerados, tienen la tarea de realizar actividades que beneficiarán a su gobierno de alguna manera. Esto a menudo incluye la recopilación de inteligencia, el espionaje y actividades que mejoran el conocimiento de la situación, especialmente en tiempos de conflicto.

Estas actividades no solo incluyen estados ‘enemigos’ u ‘hostiles’, sino que también se extienden a quienes un país considera aliados o amigos.

CTU sugiere que el reciente cambio de presidente de bronce podría indicar «un intento de China de implementar malware avanzado en los sistemas informáticos de los funcionarios rusos».

MarketingyPublicidad.es recomienda

La mejor llave de seguridad

La mejor llave de seguridad

Si bien las contraseñas sólidas lo ayudan a proteger sus valiosas cuentas en línea, la autenticación de dos factores basada en hardware lleva esa seguridad al siguiente nivel.

Se sospecha que el presidente de bronce tiene como objetivo al ejército ruso. El equipo analizó un ejecutable malicioso llamado «Blagoveshchensk – Destacamento fronterizo de Blagoveshchensk.exe”, que estaba disfrazado con un ícono .PDF y fuertemente ofuscado para ocultar un programa de descarga de malware PlugX. (La ciudad de Blagoveshchensk está cerca de la frontera con China y alberga parte del ejército ruso).

Si se ejecuta, el archivo mostrará un documento señuelo (escrito en inglés, curiosamente), que describe la situación de los refugiados y las sanciones de la UE. En segundo plano, un descargador toma PlugX de un servidor de comando y control (C2) previamente vinculado a campañas en Europa.

PlugX es un troyano de acceso remoto (RAT) capaz de exfiltrar archivos, ejecutar shells de comandos remotos, establecer una puerta trasera e implementar cargas útiles maliciosas adicionales.

Bronze President tiene a su disposición una amplia gama de herramientas, que incluyen Cobalt Strike, el backdoor de China Chopper, RCSession y ORat.

En marzo, ESET dijo que el grupo estaba aprovechando la guerra para difundir una nueva variante de Korplug/PlugX RAT, denominada Hodur, a través de campañas de phishing con temática de Ucrania y Rusia.

En otras noticias de ciberseguridad relacionadas con Rusia y Ucrania, Aqua Security ha estado rastreando el uso de repositorios en la nube por parte de ambos lados del conflicto.

Los investigadores encontraron que el 40% de los repositorios públicos con descripciones o nombres vinculados a la invasión, incluidas herramientas y guías, promovieron actividades de denegación de servicio (DoS) «dirigidas a interrumpir el tráfico de red de los servicios en línea».

Ver también


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario