La compañía de ciberseguridad Sygnia ha revelado que GhostEmperor, un grupo de piratas informáticos de origen chino, no estaba tan 'muerto' como se pensaba.
Esta pandilla de hackers, que opera de manera altamente encubierta y que se ha dado a conocer por sus sofisticados ataques a la cadena de suministro enfocándose en entidades gubernamentales y del sudeste asiático, ha sido detectada tras un 'silencio' de más de dos años.
Los investigadores han encontrado, además, que GhostEmperor ha experimentado una mejora significativa para eludir la detección.
Sygnia ha descubierto que este grupo de cibermalos se encontraba tras un incidente al que respondió a finales del año pasado, cuando la red de un cliente no identificado se vio comprometida y se usó como plataforma de lanzamiento para obtener acceso a los sistemas de otra víctima.
La primera en alertar de la existencia de estos ciberdelincuentes fue la empresa rusa de ciberseguridad Kaspersky, allá por 2021. La firma habló de ellos como "altamente hábiles y consumados en su oficio". Junto con "múltiples entidades de alto perfil atacadas en Malasia, Tailandia, Vietnam e Indonesia", Kaspersky observó "víctimas adicionales de naturaleza similar de países como Egipto, Etiopía y Afganistán".
¿Por qué una ausencia tan larga?
En conversaciones con The Record Media, el director de investigación de respuesta a incidentes de Sygnia, Amir Sadon, ha comentado que la firma no estaba segura de por qué no había información sobre las actividades de este grupo en este período de más de dos años.
"Honestamente, diría que no lo sabemos. Parte de la razón por la que hemos decidido hacer esto público es que nos gustaría conocer qué ha cambiado y cuál fue la razón de esta brecha, ya sea como resultado de la falta de actividad o como resultado de la falta de visibilidad", ha añadido el responsable.
GhostEmperor es conocido por implementar una sofisticada herramienta de piratería en redes comprometidas conocida como rootkit a nivel de kernel, algo que generalmente desarrollan los grupos de piratería patrocinados por estados nación debido a los altos recursos necesarios para crearlos y operarlos.
"Una vez que se ejecuta un rootkit, es mucho más fácil evadir las herramientas EDR y los antivirus comunes porque en realidad se está trabajando por debajo de la visibilidad que tienen", señala Sadon.
Azeem Aleem, director general de Sygnia, ha explicado que el grupo había madurado desde el informe inicial de Kaspersky en términos de una forma "bastante sofisticada" en que el rootkit evadió las protecciones de EDR, y enfatizó que los aspectos de la cadena de suministro del ataque al cliente de la compañía suponían un asunto importante que genera preocupación.