Los investigadores han revelado una nueva ola de actividad sospechosa realizada por el grupo de amenazas persistentes avanzadas (APT) DarkHotel.
La semana pasada, los investigadores de Trellix, Thibault Seret y John Fokker, dijeron que una campaña maliciosa ha estado apuntando a hoteles de lujo en Macao, China, desde noviembre de 2021 y, según las pistas del vector de ataque y el malware utilizado, el equipo sospecha que DarkHotel es el culpable.
DarkHotel es una APT de Corea del Sur que utiliza ataques de spear phishing personalizados. La APT ha estado activa en las industrias hotelera, gubernamental, automotriz y farmacéutica desde al menos 2007 y tiende a enfocarse en la vigilancia y el robo de datos, con líderes empresariales y de la industria marcados como objetivos.
Si está buscando comprometer objetivos de alto valor, como directores ejecutivos y otros ejecutivos, tiene sentido apuntar a ubicaciones de alto nivel en las que es probable que reserven. Según Trellix, las principales cadenas hoteleras de Macao, China, incluidos Grand Coloane Resort y Wynn Palace, se encuentran ahora entre las víctimas de la APT.
La campaña de DarkHotel comenzó con un correo electrónico de phishing enviado aparentemente desde la «Oficina de Turismo del Gobierno de Macao» al personal de administración de los hoteles de lujo, incluidos los empleados de la recepción y de recursos humanos, que probablemente tendrían acceso a los sistemas de reserva de huéspedes.
Los correos electrónicos contenían un señuelo de hoja de Excel que solicitaba completar un formulario para una consulta de invitado, y si la víctima habilita macros para leer el documento, las macros desencadenan la descarga y ejecución de cargas útiles de malware.
Una vez que los investigadores eliminaron las capas de ofuscación, revelaron una función de malware diseñada para crear una tarea programada para la persistencia y el lanzamiento de secuencias de comandos VBS y PowerShell para establecer una conexión a un servidor de comando y control (C2) codificado disfrazado de un servicio propiedad de los Estados Federados de Micronesia.
La cadena de ataque tiene una serie de similitudes, incluida la dirección IP y la infraestructura C2 en uso, como una campaña documentada por Zscaler en 2021.
Normalmente, se esperaría que la APT ejecutara más cargas útiles para la recopilación de credenciales y el robo de datos. Sin embargo, en esta campaña, la actividad se detuvo repentinamente en enero.
«Sospechamos que el grupo estaba tratando de sentar las bases para una campaña futura que involucre a estos hoteles específicos», dijo Trellix. «Después de investigar la agenda de eventos de los hoteles objetivo, encontramos múltiples conferencias que habrían sido de interés para el actor de amenazas. […] Pero incluso los actores de amenazas tendrán mala suerte. Debido al rápido aumento de la COVID-19 en Macao y en China en general, la mayoría de [the] Los eventos fueron cancelados o pospuestos».
Trellix ha atribuido los ataques a DarkHotel con un nivel de confianza «moderado», según las direcciones IP ya vinculadas a la APT y las pistas de «patrones de desarrollo conocidos» ocultas en el servidor C2 del malware.
Sin embargo, el equipo reconoce que esto puede no ser suficiente para la atribución total, especialmente cuando se sabe que algunos grupos de amenazas plantan banderas falsas para hacer que la comunidad de seguridad cibernética crea que su trabajo es el de otro, por lo que pasan desapercibidos.
«Independientemente de la atribución exacta del actor de amenazas, esta campaña demuestra que el sector de la hostelería es de hecho un objetivo válido para las operaciones de espionaje», dicen los investigadores. «Los ejecutivos deben ser conscientes de que la seguridad (cibernética) de sus respectivas organizaciones no se detiene en el borde de su red».
En 2020, Qihoo 360 atribuyó a la APT una ola continua de ciberataques lanzados contra las agencias gubernamentales chinas y sus empleados.
Los investigadores de seguridad cibernética dijeron que se utilizó una vulnerabilidad de día cero para comprometer al menos 200 servidores de red privada virtual (VPN) Sangfor SSL, muchos de los cuales fueron utilizados por entidades gubernamentales en Beijing y Shanghái, así como por departamentos involucrados en la diplomacia china.
Si bien la pandemia de COVID-19 ha afectado gravemente a la industria de viajes y el aumento del costo de la vida y del transporte puede mantener alejados a los turistas por más tiempo, los actores de amenazas seguirán tratando de obtener información valiosa de los hoteles y sus huéspedes.
Cuando esté de viaje, es recomendable mantener altos los estándares básicos de seguridad y, aunque no puede evitar incidentes de seguridad como el compromiso de los sistemas de punto de venta (PoS), utilice redes móviles en lugar de Wi-Fi público. Se recomiendan puntos de acceso Fi, así como el uso de redes privadas virtuales (VPN) y software completamente actualizado.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
