La compañía de ciberseguridad Proofpoint ha informado que su equipo de investigación ha podido observar desde el pasado mes de septiembre la vuelta a la actividad de phishing del actor de amenazas APT TA416.
Según indica, algunas de las acciones históricas de este actor han sido atribuidas públicamente a grupos de ciberdelincuencia como Mustang Panda y RedDelta. Su nueva actividad parece dar continuidad a anteriores campañas con las que se dirigía a entidades encargadas de las relaciones diplomáticas entre el Vaticano y el Partido Comunista Chino, así como a instituciones con sede en Myanmar o incluso del continente africano.
"La reanudación de la actividad de phishing por parte de TA416 incluyó un uso continuo de señuelos de ingeniería social que hacen referencia al acuerdo provisional recientemente renovado entre la Santa Sede del Vaticano y el Partido Comunista Chino. Además, se observaron correos electrónicos falsificados con campos que parecen imitar a periodistas de 'Union of Catholic Asia News'. Esta confluencia de contenido temático de ingeniería social sugiere un enfoque continuo en asuntos relacionados con la relación en evolución entre la Iglesia Católica y el Partido Comunista Chino", afirma la compañía de ciberseguridad.
Actividad renovada de phishing con un nuevo cargador Golang para el malware PlugX
Proofpoint también ha explicado que sus investigadores identificaron una serie de actualizaciones en los instrumentos empleados por este actor de amenazas para entregar cargas del malware PlugX. En concreto, una nueva variante Golang como cargador del malware PlugX, además de un uso constante por parte del TA416 de dicho malware en sus campañas dirigidas.
Asimismo, la compañía ha señalado que se ha constatado la persistencia del grupo en la modificación de su conjunto de herramientas para frustrar cualquier intento de análisis o detección por parte de los profesionales de seguridad.
En este sentido, ha precisado que estos cambios no aumentan en gran medida la dificultad de atribuir campañas maliciosas al TA416, pero que sí que provocan que para los investigadores sea más complicado detectar y ejecutar automáticamente componentes del malware independientes dentro de la cadena de infección.
"La introducción del cargador Golang y los esfuerzos de codificación para cargas útiles del PlugX sugieren que el grupo es consciente de que sus métodos y herramientas de ataque son cada vez más detectados, por lo que hacen de la adaptación constante su respuesta de cara a nuevas campañas. Estos ajustes de herramientas combinados con la revisión recurrente de la infraestructura de mando y control sugieren que TA416 persistirá en su objetivo de organizaciones diplomáticas y religiosas. Si bien los detalles de las herramientas y los procedimientos han evolucionado, parece que su motivación y los sectores objetivo probablemente sigan siendo consistentes", apunta.
Este actor de amenazas renueva constantemente sus herramientas para poder seguir realizando campañas de espionaje contra objetivos globales y mientras se mantiene siempre al margen de conversaciones en Twitter que son bastante populares entre los investigadores de amenazas. Además, la compañía advierte que hay distintos analistas que no descartan descubrir nuevas acciones del grupo AT416 en los próximos meses.