Detección del Ataque Billbug: Actores de Espionaje Vinculados a China Apuntan a Organizaciones del Sudeste Asiático
Tabla de contenidos:
El informe de actividad APT de ESET del segundo y tercer trimestre de 2024 destaca a los grupos afiliados a China liderando las APT operaciones globales, con campañas dirigidas a la recopilación de inteligencia siendo una de las amenazas más comunes y persistentes. El grupo de espionaje vinculado a China conocido como Billbug ha sido observado infiltrándose en múltiples organizaciones en el sudeste asiático a través de varios sectores industriales durante agosto de 2024 y febrero de 2025 utilizando nuevas herramientas personalizadas, como cargadores, malware de robo de informacióny una utilidad de reverse-SSH.
Detectar ataques de Billbug por actores de amenaza vinculados a China
Con las tensiones globales aumentando, los actores de amenazas patrocinados por el estado se están volviendo más activos y sofisticados en sus métodos. El ciberespionaje ha cobrado protagonismo, con ataques cada vez más dirigidos y difíciles de detectar. Un ejemplo reciente es una campaña del grupo Billbug vinculado a China, que se ha centrado en organizaciones en toda Asia.
Para superar las amenazas emergentes y estar al tanto de los posibles ataques de Billbug contra su organización, la plataforma de SOC Prime ofrece un conjunto de reglas Sigma relevantes que abordan los TTP de los atacantes. Presione el botón de Explorar Detectores a continuación para acceder inmediatamente al conjunto de reglas dedicado.
Las reglas son compatibles con múltiples soluciones SIEM, EDR y Data Lake y están mapeadas a MITRE ATT&CK® para agilizar la investigación de amenazas. Las detecciones también están enriquecidas con metadatos extensos, incluidos CTI enlaces, cronologías de ataques, recomendaciones de triaje y más.
Los profesionales de la seguridad que buscan más contenido de detección que aborde los TTP utilizados por actores respaldados por naciones pueden explorar el Mercado de Detección de Amenazas utilizando la etiqueta “APT” para sumergirse en una colección más amplia de algoritmos de detección e inteligencia de amenazas en tiempo real respaldada por un conjunto completo de productos para la ingeniería de detección potenciada por IA, la caza de amenazas automatizada y la detección avanzada de amenazas.
Análisis de Ataques Billbug
El grupo respaldado por China, rastreado como Billbug (también conocido como Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon o Thrip), ha realizado una serie de ataques de ciberespionaje contra organizaciones del sudeste asiático, infiltrándose en un ministerio gubernamental, una agencia de control de tráfico aéreo, un proveedor de telecomunicaciones y una empresa de construcción. Los adversarios también se infiltraron en una agencia de noticias en un país del sudeste asiático y en un operador de carga aérea en un país vecino, utilizando un conjunto de herramientas personalizadas, incluidos cargadores, ladrones de credenciales y una utilidad de reverse-SSH.
Billbug ha estado activo en el ámbito de la amenaza cibernética desde al menos 2009. Anteriormente, se observó a Billbug utilizando PsExec para desplegar Infostealer. Catchamas, lo que llevó al descubrimiento de más intrusiones en los EE. UU. y el sudeste asiático en los sectores de defensa, geoespacial y telecomunicaciones. Desde 2019, Billbug ha utilizado puertas traseras personalizadas como Hannotog y Sagerunex junto con shells de persistencia en evolución para dirigirse a entidades militares, de medios y educativas en toda Asia. Sus operaciones han golpeado con éxito a organismos estatales, cuerpos de fabricación, telecomunicaciones y medios en Filipinas, Vietnam, Hong Kong y Taiwán. En 2022, el grupo violó notablemente una autoridad de certificación, lo que generó preocupaciones por el posible uso indebido de certificados digitales para ataques sigilosos.
Entre algunas de las intrusiones del grupo, los atacantes abusaron de ejecutables legítimos de Trend Micro y Bitdefender para cargar DLL maliciosas. También se observaron variantes de log.dll y otro módulo, sqlresourceloader.dll, cargados. La última investigación de Symantec revela que durante ataques contra el sudeste asiático, el grupo empleó ChromeKatz y CredentialKatz para recolectar credenciales y cookies de Chrome junto con un oyente de reverse-SSH personalizado en el puerto 22. Además, los adversarios explotaron la herramienta pública de tunelización Zrok P2P para exponer servicios internos, y datechanger.exe para falsificar marcas de tiempo de archivos y frustrar el análisis forense.
Un aumento en la actividad de ciberespionaje vinculada a actores respaldados por China continúa generando preocupaciones en todo el panorama cibernético global. El grupo APT Billbug, activo desde al menos 2009, ha intensificado operaciones dirigidas a sectores críticos en el sudeste asiático, incluidos gobierno, telecomunicaciones, aviación y medios. Aprovechando herramientas personalizadas, ladrones de credenciales, oyentes reverse-SSH y malware cargado, el grupo demuestra un enfoque consistente en el sigilo y la persistencia. Esto subraya la necesidad urgente de que las organizaciones refuercen sus defensas y se mantengan a la vanguardia de las tácticas evolutivas de APT. Las organizaciones pueden confiar en la suite completa de productos de SOC Prime, respaldada por IA y fusionando tecnologías de vanguardia, para optimizar el riesgo de la postura de ciberseguridad de la organización.
