La empresa especializada en ciberseguridad Bitdefender ha publicado un informe en el que revela detalles sobre una sofisticada campaña de espionaje corporativo que, según ha podido detectar, tiene el sello de BackdoorDiplomacy, un grupo reconocido por realizar amenazas persistentes avanzadas (APT) que tiene vínculos con China y que lleva operando desde 2017.
Su técnica consiste en encontrar sistemas y aplicaciones vulnerables expuestos a Internet en servidores web. Y una vez que se ha accedido a la red de la víctima, esta organización pirata utiliza una multitud de herramientas de código abierto para reconocimiento y movimiento lateral.
Los detalles del ataque
El vector de infección apuntó a un servidor Exchange vulnerable, explotando ProxyShell. La evidencia forense muestra que la filtración comenzó en agosto de 2021, cuando el grupo implementó la herramienta proxy NPS y la puerta trasera IRAFAU en la organización.
A partir de febrero de 2022, los actores de amenazas utilizaron otra herramienta: la puerta trasera de Quarian, junto con varios otros escáneres y herramientas de túnel/proxy.
Los artefactos revelan el uso de keyloggers y herramientas de exfiltración que vinculan esta campaña a una operación de ciberespionaje.
Sobre BackdoorDiplomacy
Las investigaciones indican que este grupo cibercriminal ha sido el responsable de una serie de ataques dirigidos principalmente a Ministerios de Relaciones Exteriores y empresas de telecomunicaciones de distintos países de África, Europa, Estados Unidos y Asia.
Se ha descubierto, además, que tiene herramientas maliciosas multiplataforma que pueden afectar tanto a los sistemas Windows como Linux.
Desde enigmasoftware.es revelan que BackdoorDiplomacy exhibe ciertas coincidencias con otros grupos de ciberdelincuentes de la región asiática. El protocolo de cifrado que usa Turian es casi el mismo que se ve en la puerta trasera de Whitebird, una herramienta amenazante atribuida al grupo Calypso. Whitebird fue empleado en ataques contra organizaciones diplomáticas de Kazajstán y Kirguistán durante el mismo período de tiempo que las operaciones BackdoorDiplomacy. También se puede establecer una superposición entre BackdoorDiplomacy y otro grupo llamado APT15, ya que ambos se basan en las mismas técnicas y procedimientos al implementar sus respectivas cargas útiles de puerta trasera, principalmente el secuestro de órdenes de búsqueda DLL.
Las organizaciones, en alerta
Bitdefender alienta a las organizaciones de los sectores de telecomunicaciones, industria, energía, finanzas y defensa a reforzar su protección, ya que los ataques híbridos, en los que se combinan tácticas oportunistas, como escaneado de vulnerabilidades, con otras más sofisticadas, como técnicas de exfiltración de datos de alto nivel, se han duplicado en el último año.
¿Qué hacer frente a estas amenazas? Los expertos recomiendan disponer de una seguridad en capas, que incorpore capacidades de prevención, detección y respuesta a este tipo de ataques, incluida la búsqueda proactiva de amenazas.