El grupo de amenazas persistente APT41 se ceba con las empresas e instituciones indias

Se trata de un colectivo de estado nación asociado a China que podría existir desde hace más de 15 años y que tiene 'horario de trabajo'.

Alberto Payo

Periodista

Guardar

india
india

La tensión geopolítica entre China e India también se traduce en la 'ciberguerra' entre ambas naciones. Según se hace eco el medio local Hindustan Times, al menos nueve organizaciones indias han sido víctimas de ciberataques por parte e un grupo de piratas chinos de estado nación.

Una investigación llevada a cabo por la firma de seguridad con sede en Singapur Group IB apunta a esta dirección. Los hackers llevarían activos desde al menos 2007 y cuenta con varios nombres dentro de la comunidad de cibermalos. 

La denominación más conocida es APT-41, es decir, se trata de un colectivo capaz de realizar amenazas persistentes avanzadas. 

APT-41 tendría a India y sus empresas e instituciones como uno de sus principales objetivos. El año pasado atacó una aerolínea india y otros ocho sitios web del país. Logaron piratearlos mediante una inyección SQL, donde se inyecta un código de computadora malicioso en un sitio web para obtener acceso no autorizado.

Los sitios web seleccionados pertenecían a organizaciones de diferentes sectores de India, como gobierno, logística, fabricación industrial, consultoría, deportes, ingeniería, educación y transporte. 

Group-IB también ha notificado al Equipo Indio de Respuesta a Emergencias Informáticas (CERT-IN) sobre las víctimas indias de APT41 descritas en nuestra investigación", explica Nikita Rostovtsev, analista de Amenazas del Equipo de Investigación de Amenazas Persistentes Avanzadas de Group-IB. 

APT41 se habría servido de una herramienta de piratería llamada Cobalt Strike, capaz de detectar vulnerabilidades en los sistemas, generar malware y ejecutar campañas de phising de forma muy exitosa. 

En el pasado, la herramienta fue apreciada por las bandas de ciberdelincuentes que tenían como objetivo a los bancos, mientras que hoy en día es popular entre varios actores de amenazas, independientemente de su motivación, incluidos los infames operadores de ransomware”, afirma el informe de Group-IB.

Hackers con horario de oficina

La campaña ejecutada pacientemente por los cibermalos pasó por varias etapas. Todo comenzó con el reconocimiento de servidores vulnerables, seguida de la inyección persistente de código malicioso, la evasión de los mecanismos de defensa de los sistemas utilizando herramientas para esconderse de los detectores de amenazas comunes y, finalmente, la localización y extracción de datos.

Group IB comparte un detalle curioso en su investigación. Y es que APT41 tendría prácticamente un horario de oficina. Comienzan a trabajar a las 9 de la mañana y su actividad se suspende a las 7 de la tarde, de acorde al horario de China. 

Según se ha podido comprobar el grupo de amenazas persistentes avanzadas por ahora ha mostrado tener dos objetivos principales: el ciberespionaje y las ganancias financieras.