Un reciente informe elaborado por el grupo especializado en análisis geopolítico e inteligencia de ciberamenazas Natto Team ofrece una visión completa del panorama cambiante de la implementación de ransomware por parte de actores de amenazas chinos.
Este informe toca tanto las motivaciones de los cibercriminales chinos como las técnicas que más utilizan, incidiendo en la convergencia existente entre la ciberdelincuencia y el espionaje patrocinado por el estado chino.
El análisis de Natto revela una escalada significativa en el despliegue de ransomware por parte de los actores de amenazas mandarines desde 2016, con un enfoque predominante en el logro de objetivos políticos.
Dichos cibermalos se sirven del ransomware para ofuscar atribución, ocultando sus verdaderos orígenes e intenciones, pero también para desviar la atención de operaciones maliciosas concurrentes.
Además, dichas técnicas les vienen de lujo para generar ingresos que les permitan financiar otras actividades maliciosas, causar daños en las infraestructuras críticas y proporcionar cobertura para la exfiltración de datos confidenciales.
El informe también realiza un examen meticuloso de varios casos de alto perfil atribuibles a atacantes chinos. Estos son algunos de los incidentes más sonados, ordenados cronológicamente:
- Codoso (2016) Este grupo, sospechoso de tener vínculos con el gobierno chino, se caracteriza por poder esperar años para ejecutar la etapa final de su ataque.
- APT41 (2019) Conocido por llevar a cabo tanto espionaje patrocinado por el estado como ciberdelincuencia motivada financieramente, APT41 intentó extorsionar a una empresa de juegos con ransomware después de no poder monetizar la moneda del mismo.
- Winnti (2020) Este grupo realizó ataques destructivos de ransomware contra organizaciones en Taiwán, subrayando la tendencia de China a utilizar Taiwán como campo de pruebas para ciberoperaciones.
- DEV-041 (Bronze Starlight) (2023) Esta banda empleó el ransomware como cortina de humo para ocultar las actividades de espionaje, desplegando una variedad de familias de ransomware de vida corta.
- Bronze Starlight (SLIME34) (2023): Este grupo atacó la industria del juego del sudeste asiático con ataques por motivos políticos.
- Incidente del gobierno de Palau de 2024: Un ataque de ransomware dirigido a los sistemas gubernamentales de Palaos, coincidiendo con una ceremonia conmemorativa de la relación del país con Estados Unidos, se atribuyó a actores estatales chinos.
- ChamelGang (2024): Este grupo desplegó ransomware y encriptadores en varias campañas, motivados por el beneficio financiero, la interrupción y la eliminación de pruebas.
Asimismo, el documento incluye varios grupos de ransomware que usan nombres chinos, pero que en realidad no son tal. Adoptan esas denominaciones para confundir o bien para homenajear a la cultura china. Estas bandas suelen estar vinculadas a Rusia.