La compañía de seguridad Trend Micro ha advertido sobre la existencia de un actor persistente de amenazas (APT) de origen chino y probablemente vinculado a Pekín que ha comprometido docenas de entidades gubernamentales extranjeras en todo el mundo.
Entre las víctimas hay entidades gubernamentales, ministerios de asuntos exteriores, organizaciones de educación, telecomunicaciones, logística, finanzas, salud, manufactura, militar y otros.
La pandilla de hackers es conocida como Earth Krahang y está ligada a Earth Lusca, que se cree que es un equipo de penetración dentro de la compañía china I-Soon.
Según se hace eco Security Week, algunos documentos han mostrado recientemente que I-Soon es un contratista privado ligado al Ministerio de Seguridad Pública, la principal agencia de policía de China.
Trend Micro calcula que Earth Krahang habría comprometido al menos a 70 organizaciones de 23 países distintos, principalmente en Asia y América, pero también en Europa y África. Además, el APT también se ha dirigido al menos a otras 100 entidades en 35 países.
"Descubrimos que al menos 48 organizaciones gubernamentales se vieron comprometidas y otras 49 entidades gubernamentales fueron atacadas. Los ministerios y departamentos de Asuntos Exteriores resultaron el principal objetivo, vulnerando a 10 de esas organizaciones y apuntando a otras cinco”, señaló Trend Micro.
El modus operandi de este grupo es abusar de la confianza entre gobiernos para llevar a cabo sus ataques.
“Earth Krahang abusa de la confianza entre gobiernos para llevar a cabo sus ataques. Descubrimos que el grupo utiliza con frecuencia servidores web gubernamentales comprometidos para alojar sus puertas traseras y enviar enlaces de descarga a otras entidades gubernamentales a través de correos electrónicos de phishing”, señala Trend Micro.
Por otro lado, el actor de amenazas también construiría VPN en servidores públicos comprometidos para acceder a las redes de las víctimas y recopilar credenciales de email mediante ataques de fuerza bruta.
Cómo opera
Earth Krahang mandaba emails de phishing que contenían archivos adjuntos o URL incrustadas que conducían a la ejecución de malware.
En un caso, se utilizó una cuenta de correo electrónico gubernamental comprometida para enviar un archivo adjunto malicioso a aproximadamente 800 cuentas pertenecientes a la misma organización.
Después del acceso inicial, la APT implementaría SoftEther VPN para conectarse al entorno de la víctima, usaría la programación de tareas para obtener persistencia, habilitaría conexiones de escritorio remoto, escanearía la red, extraería credenciales de volcados de memoria, se movería lateralmente y escalaría privilegios.
"Dada la importancia de los objetivos de Earth Krahang y su preferencia por utilizar cuentas de email gubernamentales comprometidas, recomendamos encarecidamente a las organizaciones que cumplan con las mejores prácticas de seguridad, incluida la educación de los empleados y otras personas involucradas con la organización sobre cómo evitar ataques de ingeniería social", recoge el informe de ciberseguridad.