El APT Chino Apunta a Proveedores de 5G en Todo el Mundo

El equipo de McAfee Advanced Threat Research (ATR) Strategic Intelligence ha descubierto una operación de ciberespionaje de larga duración dirigida a importantes proveedores de telecomunicaciones en todo el mundo. Según los investigadores de seguridad, hackers apoyados por la nación china han implantado malware en las redes de múltiples empresas de telecomunicaciones de EE.UU., la UE y el sudeste asiático para realizar reconocimientos y robar información secreta relacionada con la tecnología 5G. La campaña maliciosa fue presuntamente lanzada en nombre del gobierno de Pekín en respuesta a la prohibición de tecnología china dentro de los despliegues de 5G en las regiones objetivo.

Resumen de la Operación Dianxun

Un análisis en profundidad de las tácticas, técnicas y procedimientos (TTPs) vincula la campaña al actor APT chino conocido como Mustang Panda o RedDelta. Anteriormente, se observó a este colectivo de hackers atacando organizaciones católicas, ONG mongolas y think tanks con sede en EE.UU. Sin embargo, en agosto de 2020, el grupo pasó a actividades maliciosas relacionadas con la Operación Dianxun, dirigida a docenas de empresas de telecomunicaciones para espiar sus redes.

El vector de infección inicial es actualmente desconocido, sin embargo, los expertos de McAfee sugieren que los atacantes redirigen a las víctimas a un dominio de phishing que entrega software malicioso a sus sistemas. En particular, se incita a los usuarios a visitar un sitio web falso disfrazado como la página de carreras de la empresa Huawei. Esta página engaña a las víctimas para que descarguen una aplicación Flash falsa, que actúa como un cargador y deja caer una utilidad DotNet en la máquina objetivo. La herramienta DotNet funciona para ganar persistencia, realizar reconocimientos y cargar puertas traseras de segunda etapa en la red comprometida. El análisis en profundidad revela que en la mayoría de los casos, DotNet entrega un kit de ataque Cobalt Strike en forma de un archivo gzip base64. Los hackers chinos utilizan Cobalt Strike en las últimas etapas de la intrusión para moverse lateralmente a través de la red comprometida y buscar datos valiosos asociados con la tecnología 5G.

Los expertos en seguridad señalan que Huawei en sí misma no está de ninguna manera conectada a esta operación maliciosa, de hecho, siendo víctima de las acciones nefastas. Además, los investigadores creen que la campaña todavía está en curso, ya que recientemente han detectado actividad maliciosa basada en los mismos TTPs.

Detección de ataques de la Operación Dianxun

Para detectar posibles ataques asociados con la Operación Dianxun, nuestro experto desarrollador de Threat Bounty Emir Erdogan lanzó una regla Sigma dedicada a la comunidad:

https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

Tácticas: Ejecución, Persistencia, Escalada de privilegios

Técnicas: Tarea Programada (T1053)

Suscríbete al Threat Detection Marketplace, la primera plataforma SaaS de la industria que agrega más de 100,000 reglas de detección y respuesta fácilmente convertibles a varios formatos. ¿Apasionado por crear tu propio contenido de detección y contribuir a iniciativas globales de caza de amenazas? Únete a nuestro Programa de Threat Bounty y recibe recompensas por tu contribución.