Piratas informáticos de estado nación asociados a China han tenido en el punto de mira a la industria de semiconductores del Este de Asia en una nueva campaña de ciberespionaje, según afirma una nueva investigación realizada por la firma de ciberseguridad holandesa EclecticQ.
Los investigadores afirman que los ciberdelincuentes se sirvieron troyano de acceso remoto (RAT) HyperBro, asociado al grupo de amenazas persistentes avanzadas Budworm o APT27.
El mencionado RAT estuvo involucrado en operaciones de espionaje dirigidas a una firma de telecomunicaciones de Oriente Medio y a un gobierno asiático en septiembre. Esta amenaza ha sido observada, sobre todo, apuntando contra la industria de las apuestas online, según recoge Malpedia.
En la citada campaña los actores de amenazas vinculados a China se hicieron pasar por el conocido fabricante de chips TSMC (Taiwan Semiconductor Manufacturing Company). Este gigante de los semiconductores fabrica microchips para grandes empresas tecnológicas como Apple o Nvidia.
Cómo infectaban
EclecticQ señala que los objetivos fueron infectados con una baliza Cobalt Strike. Los profesionales de la ciberseguridad utilizan dicho software para simular ciberataques y probar la seguridad de distintos sistemas. Pero los cibermalos suelen abusar de él para emitir comandos de manera remota y hacerse con la información de sus víctimas.
Cobalt Strike fue instalado en los equipos de las víctimas mediante el RAT HyperBro. Cuando se ejecuta este troyano de acceso remoto se muestra un archivo PDF que finge ser de TSMC, confundiendo al usuario.
Además, los piratas informáticos también utilizaron una nueva puerta trasera llamada ChargeWeapon, que fue diseñada para obtener acceso remoto a la víctima y enviar información del dispositivo y de la red desde una computadora infectada al servidor de un atacante.