Naikon es un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que está vinculado a China y que se dirige principalmente a entidades gubernamentales y organizaciones militares de países de la región de Asia y Pacífico, entre los que destacan Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei.
Este grupo de cibercriminales, también conocido como APT-30, lleva operativo desde al menos 2010 y es uno de los más activos de Asia. En 2015, reconoció la autoría de varios ataques contra organismos gubernamentales y otras organizaciones en países situados alrededor del Mar de China, que tenían como objetivo acceder a información política confidencial. También durante ese mismo año, pareció cesar su actividad. Sin embargo, el año pasado Check Point descubrió que llevaba cinco años realizando campañas de ciberespionaje contra gobiernos de países de Asia y Pacífico y que, además, desde el 2019 había incrementado su actividad.
Hasta ahora, no habíamos vuelto a tener noticias de Naikon, pero Bitdefender acaba de publicar una nueva investigación que evidencia que este año también ha continuado activo y que además, ha renovado las técnicas que utiliza. En concreto, la investigación revela una operación llevada a cabo por Naikon entre junio de 2019 y marzo de 2021 contra organizaciones militares ubicadas en el sudeste asiático. Tenía como propósito el ciberespionaje y el robo de datos y, a diferencia de las operaciones anteriores de este grupo APT, esta ha incluido una puerta trasera secundaria, que Bitdefender ha denominado Nebulae y que juega un papel fundamental a la hora de ganar persistencia en los sistemas de sus víctimas.
"Al inicio de la operación, los actores de la amenaza utilizaron el malware 'Aria-Body' (ya reportado por Check Point el año pasado) y 'Nebulae' como la primera etapa del ataque. A partir de nuestras observaciones, de septiembre de 2020, los actores de amenazas incluyeron la puerta trasera 'RainyDay' en su kit de herramientas", señala la compañía de ciberseguridad.
El nuevo kit de herramientas de Naikon y la advertencia de Bitdefender
Según revela la investigación, el principal instrumento utilizado por Naikon en esta operación de casi dos años contra organizaciones militares del sudeste de Asia es la puerta trasera RainyDay, a través de la cual se incorporaron otras herramientas a lo largo del ciclo de vida del ataque. "Usando la puerta trasera 'RainyDay', los atacantes realizaron un reconocimiento, cargaron sus herramientas y escáneres de proxy inverso, ejecutaron las herramientas de volcado de contraseñas, realizaron un movimiento lateral y lograron la persistencia. Todo para comprometer la red las víctimas y acceder a la información de interés".
Bitdefender observó la intención de los ciberdelincuentes de esconderse a través de software legítimo durante la implementación de herramientas de exfiltración como sbiedll.dll, que se utiliza para recopilar automáticamente archivos con una extensión determinada y subirlos a Dropbox.
Para el movimiento lateral, el informe señala que se utilizaron WMIC.exe y schtasks.exe con credenciales de dominio de administrador, lo que supone un claro indicador de que las credenciales fueron robadas en algún momento del ataque. Y, en cuanto a la puerta trasera secundaria, Nebulae, apunta que actúa como respaldo en caso de que las víctimas detecten signos de infección y eliminen la puerta trasera principal.
Ante las revelaciones de esta investigación, Bitdefender insta a las organizaciones que desarrollen operaciones en la zona Asia y Pacífico a que se mantengan en alerta y verifiquen la presencia de indicadores de compromiso conocidos.