APT vinculado a China voló bajo el radar durante una década

Los investigadores han identificado una APT pequeña pero potente vinculada a China que ha pasado desapercibida durante casi una década realizando campañas contra organizaciones gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia.

Investigadores de SentinelLabs dijo el APT, al que llamaron Aoqin Dragon, ha estado operando desde al menos 2013. El APT es “un pequeño equipo de habla china con asociación potencial con [un APT llamado] UNC94”, informaron.

Los investigadores dicen que una de las tácticas y técnicas de Aoqin Dragon incluye el uso de documentos maliciosos con temas pornográficos como cebo para atraer a las víctimas a descargarlos.

“Aoqin Dragon busca el acceso inicial principalmente a través de la explotación de documentos y el uso de dispositivos extraíbles falsos”, escribieron los investigadores.

Las tácticas de sigilo en evolución del Dragón Aoqin

Parte de lo que ayudó a Aoqin Dragon a permanecer fuera del radar durante tanto tiempo es que han evolucionado. Por ejemplo, los medios que APT usó para infectar las computadoras de destino han evolucionado.

En sus primeros años de operación, Aoqin Dragon se basó en la explotación de vulnerabilidades antiguas, específicamente, CVE-2012-0158 y CVE-2010-3333, que sus objetivos podrían no haber reparado aún.

Más tarde, Aoqin Dragon creó archivos ejecutables con íconos de escritorio que los hacían parecer carpetas de Windows o software antivirus. Estos programas eran en realidad lanzadores maliciosos que instalaban puertas traseras y luego establecían conexiones con los servidores de comando y control (C2) de los atacantes.

Desde 2018, el grupo ha estado utilizando un dispositivo extraíble falso como vector de infección. Cuando un usuario hace clic para abrir lo que parece ser una carpeta de dispositivo extraíble, de hecho inicia una reacción en cadena que descarga una puerta trasera y una conexión C2 a su máquina. No solo eso, el malware se copia a sí mismo en cualquier dispositivo extraíble real conectado a la máquina host, para continuar su propagación más allá del host y, con suerte, en la red más amplia del objetivo.

El grupo ha empleado otras técnicas para mantenerse fuera del radar. Han utilizado túneles DNS, manipulando el sistema de nombres de dominio de Internet para colar datos a través de los cortafuegos. Un apalancamiento de puerta trasera, conocido como Mongall, cifra los datos de comunicación entre el host y el servidor C2. Con el tiempo, dijeron los investigadores, la APT comenzó a trabajar lentamente en la técnica del disco extraíble falso. Esto se hizo para "actualizar el malware para evitar que los productos de seguridad lo detecten y lo eliminen".

Vínculos Estado-Nación

Los objetivos han tendido a caer en unos pocos cubos: gobierno, educación y telecomunicaciones, todo en el sudeste asiático y sus alrededores. Los investigadores afirman que "el objetivo del Dragón Aoqin se alinea estrechamente con los intereses políticos del gobierno chino".

Otra evidencia de la influencia de China incluye un registro de depuración encontrado por investigadores que contiene caracteres chinos simplificados.

Lo más importante de todo es que los investigadores destacaron un ataque superpuesto al sitio web del presidente de Myanmar en 2014. En ese caso, la policía rastreó los servidores de comando y control y de correo de los piratas informáticos hasta Beijing. Las dos puertas traseras principales de Aoqin Dragon "tienen una infraestructura C2 superpuesta", con ese caso, "y la mayoría de los servidores C2 se pueden atribuir a usuarios de habla china".

Aún así, "identificar y rastrear adecuadamente a los actores de amenazas estatales y patrocinados por el estado puede ser un desafío", escribió Mike Parkin, ingeniero técnico senior de Vulcan Cyber, en un comunicado. “SentinelOne, que publica ahora la información sobre un grupo APT que aparentemente ha estado activo durante casi una década y no aparece en otras listas, muestra lo difícil que puede ser 'estar seguro' cuando se está identificando a un nuevo actor de amenazas. ”