La compañía de seguridad Trend Micro ha identificado la existencia de un peligroso grupo de ciberdelincuentes que se ha centrado en penetrar en el segmento upstream de la cadena de suministro de drones.
Su nombre es Earth Ammit y está relacionado con grupos de amenazas persistentes avanzadas (APTs) de habla china.
Este adversario ha desarrollado una estrategia de ataque en varias etapas, comenzando con la manipulación de software de planificación de recursos empresariales (ERP) utilizado por las compañías objetivo. Al comprometer estos programas, los atacantes logran acceder a las redes internas de las empresas, permitiéndoles robar información sensible y mantener una presencia prolongada sin ser detectados.
Earth Ammit introduce malware y una vez dentro de la red se mueve lateralmente buscando servidores clave y bases de datos con información crítica. Después, pasan a la exfiltración de datos, robando detalles de diseños, planes de producción, comunicaciones internas y tecnología propietaria. Además, consiguen pasar desapercibidos y mantener el acceso durante un tiempo prolongado sin que las víctima se percaten de ello.
Estas víctimas del grupo estarían situadas, sobre todo, en Taiwán y Corea del Sur, afectando a diversos sectores, como el militar, el satelital, la industria pesada, los medios de comunicación, la tecnología, los servicios de software y la salud.
Campañas muy venenosas
Este actor de amenazas habría lanzado dos campañas orquestadas entre 2023 y 2024. La primera, VENOM, se dirigió principalmente a proveedores de software, pero también al sector de los medios de comunicación, la tecnología y la salud.
En la segunda, TIDRONE, el objetivo principal fue la industria militar. No obstante, también estuvieron en el foco los medios, la atención médica, los proveedores de satélites y drones, así como proveedores de servicios de pago.
Los ciberdelincuentes recurrieron a herramientas de código abierto en la primera de ellas debido a su bajo coste y la dificultad de rastreo. Sin embargo, en TIDRONE optaron por otras herramientas personalizadas (como CXCLNT y CLNTEND para fines de ciberespionaje).
"El objetivo a largo plazo de Earth Ammit es comprometer redes confiables mediante ataques a la cadena de suministro, lo que les permite atacar a entidades de alto valor en etapas posteriores y ampliar su alcance. Las organizaciones que son víctimas de estos ataques también corren el riesgo de sufrir robo de datos, incluyendo la exfiltración de credenciales y capturas de pantalla", advierte Trend Micro en un post en su blog.