El grupo de ciberdelincuentes TA423, alineado con los intereses del Gobierno chino y también conocido como 'Red Ladon', ha estado llevando a cabo una campaña de ciberespionaje en medio de las recientes tensiones de China con otros países. Así lo pone de manifiesto una investigación de Proofpoint en colaboración con el equipo de inteligencia de amenazas de PwC que ha analizado varias fases de esta campaña que lleva más de un año activa y actualmente sigue en curso teniendo un alcance internacional, pero estando principalmente centrada en el mar de la China Meridional.
"TA423/Red Ladon es un actor de amenazas motivado por el espionaje con sede en China que ha estado activo desde 2013, apuntando a una variedad de organizaciones en respuesta a eventos políticos en la región de Asia-Pacífico, con un enfoque en el Sur del Mar de China", señala Proofpoint en el informe en el que ha compartido los principales hallazgos de su investigación, publicado este mismo martes.
En el caso de la última campaña detectada, ha estado dirigida a entidades que operan en el mar de China Meridional así como en Australia, Malasia y Europa. Así, las organizaciones objetivo incluyen contratistas de defensa, fabricantes, universidades, agencias gubernamentales, firmas de abogados especializadas en disputas diplomáticas y compañías extranjeras involucradas con la política de Australia o con las operaciones del Mar de China Meridional.
De manera más concreta, TA423 ha estado apuntando a agencias gubernamentales locales y federales en Australia, medios de comunicación australianos, fabricantes mundiales de la industria pesada que realizan el mantenimiento de flotas de turbinas eólicas en el Mar de China Meridional y organizaciones dedicadas a la producción de energía en este mar. También han sido objeto de ataques empresas financieras y de marketing global, así como otras entidades implicadas en proyectos estratégicos en el mar del sur de China, como el yacimiento de gas de Kasawari, desarrollado por Malasia, y un parque eólico marino de Yunlin, situado en el Estrecho de Taiwán.
Así es la campaña de TA423
Siguiendo la información de Proofpoint, la campaña de TA423 se ha basado principalmente en correos electrónicos de phishing que se hacían pasar por medios de comunicación australianos para distribuir ScanBox, un malware que les permitía realizar tareas de reconocimiento de organismos gubernamentales, medios de comunicación y empresas de energía, entre otras.
"ScanBox, detallado en código abierto ya en 2014 por AlienVault , es un marco de explotación y reconocimiento web basado en JavaScript que permite a los actores de amenazas perfilar a las víctimas y entregar más malware a objetivos de interés seleccionados. PwC Threat Intelligence evalúa que es muy probable que ScanBox se comparta de forma privada entre múltiples actores de amenazas con sede en China", subraya el informe, que también aclara que TA423 ya había utilizado este malware antes de las elecciones de Camboya de 2018 en una campaña en la que creó páginas webs maliciosas con noticias locales con el fin de atraer a las víctimas e infectarlas.
Desde Proofpoint y PwC creen que el grupo de ciberdelincuencia TA423 continuará con sus labores de recopilación de información y espionaje, dirigiéndose a los países situados en el mar del sur de China, además de realizar nuevas incursiones en Europa, Estados Unidos y Australia.
"TA423 es uno de los grupos APT más consistentes dentro del panorama de amenazas. Sus miembros apoyan al Gobierno chino en asuntos relacionados con el mar del sur de China, incluso durante las recientes tensiones en Taiwán", ha afirmado Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía, y ha agregado:
"Estos ciberdelincuentes quieren saber de manera específica quién está activo en la región y, aunque no podemos asegurarlo, es probable que su fijación por cuestiones navales siga siendo una prioridad constante en lugares como Malasia, Singapur, Taiwán y Australia".