Los analistas de amenazas rusos de Positive Technologies han hallado la existencia de un grupo de piratas informáticos chinos que apunta en sus ataques a empresas de la industria aeroespacial rusa.
Bautizados como 'Space Pirates' por los objetivos a los que se dirigien, se sirven de correos electrónicos de phising para instalar malware en los sistemas de las víctimas y sustraer información confidencial, según se hace eco Bleeping Computer.
En principio este grupo de amenazas persistentes avanzadas habría comenzado a operar en 2017 y tiene vinculación con grupos conocidos, como APT41 (Winnti), Mustang Panda y APT27.
Los analistas encontraron sus primeros signos de actividad el verano pasado. Tirando de la manta, vieron que habían usado el mismo malware e infraestructura contra al menos cuatro entidades nacionales más desde 2019.
A Space Pirates se le atribuyen varios ataques a agencias gubernamentales y empresas involucradas en servicios de TI, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia y Mongolia.
Los 'piratas espaciales' llegaron a comprometer dos empresas rusas con participación estatal. En el primer caso, se hicieron con más de 1.500 documentos, información de empleados y otros datos confidenciales, tras disfrutar de acceso a 20 de sus servidores durante 20 meses. En el segundo caso, comprometieron la red de la compañía durante más de un año, desviando información confidencial.
Poniendo las cosas difíciles
La identificación y el rastreo de Space Pirates se torna bastante complicada. En primer lugar, porque en sus ataques se superponen varias APT chinas lo cual, supuestamente, se debería a que los piratas informáticos de la región suelen intercambiarse herramientas. Los grupos de ciberdelincuentes son conscientes de que, de esta forma, dificultan mucho el trabajo de los analistas para encontrarlos.
Por otro lado, Spaces Pirate también habría desplegado su malware personalizado en algunas compañías chinas para obtener ganancias financieras, asi que podría tener una doble función.