Exponiendo hackers chinos: Cómo están hackeando empresas de telecomunicaciones y escuchando tus llamadas

Un grupo de investigadores descubrió tres distintos grupos de actores de amenazas vinculados al gobierno chino empleando exploits de Microsoft Exchange nunca antes vistos para desplegar poderosos ciberataques. Estos grupos fueron identificados como Emissary Panda (también conocido como APT27), Soft Cell y Naikon. Por si fuera poco, los investigadores de Kaspersky confirmaron la detección de un cuarto grupo de hacking chino conocido como GhostEmperor empleando un rootkit para el compromiso de sistemas Windows.

El reporte fue elaborado por la firma de seguridad Cybereason, y afirma que estos grupos trabajan de cerca con algunas células de la milicia china. El investigador Yonatan Striem-Amit menciona que estos ataques parecen ser el punto de partida para el despliegue de ambiciosas campañas de espionaje mediante el compromiso de dispositivos personales.

Los tres grupos han sido rastreados por la comunidad de la ciberseguridad desde hace un par de años, cuando uno de estos grupos fue descubierto atacando una compañía de telecomunicaciones al sur de Asia. Cabe mencionar que solo se ha confirmado oficialmente la detección de dos de estos grupos, ya que si bien los expertos atribuyen la actividad maliciosa a Emissary Panda, otros grupos también usan el backdoor OWA, empleado para el compromiso de servidores IIS y Exchange.  

Sobre Soft Cell, la investigación señala que este grupo es capaz de obtener acceso explotando vulnerabilidades conocidas en Exchange para la instalación del webshell China Chopper. Posteriormente los hackers emplean el backdoor PcShell y Cobalt Strike para el movimiento lateral, lo que eventualmente permite el robo de credenciales de usuario.

Por otra parte, los expertos describieron la actividad de Naikon, mencionando que los hackers usan el backdoor Nebulae para acceder a los sistemas comprometidos, además de usar PAExec y WMI para el movimiento lateral y Modified MimiKatz para registrar las pulsaciones del teclado e interceptar información confidencial.

Finalmente, el tercer grupo emplea Exchange Server para el acceso inicial, implementando el backdoor .NET personalizado en más de 20 servidores durante los últimos 3 años. Todos estos ataques demostraron ser funcionales y fueron desplegados en un periodo de tiempo muy corto, lo que muestra las avanzadas capacidades de este grupo de hacking.

Para los investigadores resultó algo inusual que tres grupos de hacking diferentes estén desplegando una campaña de forma casi coordinada, incluso comprometiendo los mismos objetivos de forma simultánea. Es por ello que resulta complicado concluir si estos grupos están actuando de forma conjunta o independiente, aunque es un hecho que los tres grupos identificados en esta campaña trabajan de cerca con el ejército chino.

“Estos ataques son preocupantes, ya que comprometen la seguridad de infraestructura crítica y sus proveedores. Las operaciones de espionaje auspiciadas por actores estatales no solo tienen un impacto negativo en los socios comerciales, sino que también tienen el potencial de amenazar la seguridad nacional en territorios afectados”, concluye el reporte.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).