Un grupo de ciber espionaje conocido como Earth Ammith se ha vinculado a dos campañas relacionadas pero distintas de 2023 a 2024 dirigidas a varias entidades en Taiwán y Corea del Sur, incluidos militares, satélite, industria pesada, medios, tecnología, servicios de software y sectores de atención médica.
La firma de ciberseguridad Trend Micro dijo que la primera ola, con nombre en código Venom, principalmente proveedores de servicios de software dirigidos, mientras que la segunda ola, conocida como Tidrone, destacó a la industria militar. Se evalúa que la Tierra Ammit está conectada con los grupos de estado-nación de habla china.
«En su campaña de Venom, el enfoque de Earth Ammith implicaba penetrar el segmento aguas arriba de la cadena de suministro de drones», dijeron los investigadores de seguridad Pierre Lee, Vickie Su y Philip Chen. «El objetivo a largo plazo de Earth Ammith es comprometer las redes confiables a través de ataques de la cadena de suministro, lo que les permite dirigirse a entidades de alto valor aguas abajo y amplificar su alcance».
La campaña de Tidrone fue expuesta por primera vez por Trend Micro el año pasado, detallando los ataques del clúster contra los fabricantes de drones en Taiwán para entregar malware personalizado como CXCLNT y Clntend. Un informe posterior de AhnLab en diciembre de 2024 detalló el uso de Clntend contra las empresas surcoreanas.
Los ataques son notables para atacar a la cadena de suministro de drones, aprovechando el software de planificación de recursos empresariales (ERP) para violar las industrias militares y satelitales. Los incidentes seleccionados también han involucrado el uso de canales de comunicación confiables, como las herramientas de administración de TI o monitoreo remoto, para distribuir las cargas útiles maliciosas.
La campaña de veneno, por tendencia micro, se caracteriza por la explotación de las vulnerabilidades del servidor web para eliminar los proyectiles web, y luego armarse el acceso para instalar herramientas de acceso remoto (RAT) para un acceso persistente a los hosts comprometidos. El uso de herramientas de código abierto como RevSock y Sliver en los ataques se considera un intento deliberado de nublar los esfuerzos de atribución.
El único malware a medida observado en la campaña de Venom es VenFrPC, una versión personalizada de FRPC, que, en sí misma, es una versión modificada de la herramienta de proxy de reverso rápido (FRP) de código abierto.
El objetivo final de la campaña es cosechar credenciales de los entornos violados y usar la información robada como un trampolín para informar la próxima fase, Tidrone, dirigida a clientes aguas abajo. La campaña de Tidrone se extiende en tres etapas –
- Acceso inicial, que refleja la campaña de Venom atacando a los proveedores de servicios para inyectar código malicioso y distribuir malware a los clientes aguas abajo
- Comando y control, que utiliza un cargador DLL para soltar CXCLNT y Clntend Backdoors
- Después de la explotación, que implica establecer persistencia, crecer privilegios, deshabilitar el software antivirus utilizando TruesightKiller e instalar una herramienta de captura de capturas de pantalla doblada ScreenCap usando Clntend
«La funcionalidad central de CXCLNT depende de un sistema de complementos modular. Tras la ejecución, recupera complementos adicionales de su servidor C&C para extender sus capacidades dinámicamente», dijo Trend Micro. «Esta arquitectura no solo oscurece el verdadero propósito de la puerta trasera durante el análisis estático, sino que también permite operaciones flexibles y a pedido basadas en los objetivos del atacante».
Se dice que CXCLNT se usó en ataques desde al menos 2022. Clntend, detectado por primera vez en 2024, es su sucesor y viene con un conjunto ampliado de características para evitar la detección.
La conexión entre Venom y Tidrone se deriva de víctimas compartidas y proveedores de servicios y una infraestructura de comando y control superpuesta, lo que indica que un actor de amenaza común está detrás de ambas campañas. Trend Micro dijo que las tácticas, técnicas y procedimientos (TTP) del equipo de piratería (TTPS) se asemejan a los utilizados por otro grupo de piratería de estado nación chino rastreado como Dalbit (también conocido como M00nlight), lo que sugiere un kit de herramientas compartido.
«Esta progresión subraya una estrategia deliberada: comienza de amplio costo y herramientas de bajo riesgo para establecer acceso, luego pivote a capacidades personalizadas para intrusiones más específicas e impactantes», dijeron los investigadores. «Comprender este patrón operativo será crítico para predecir y defender contra futuras amenazas de este actor».
Japón y Taiwán atacados por Swan Vector
La divulgación se produce cuando Seqrite Labs reveló los detalles de una campaña de ciber espionaje denominado Swan Vector que ha dirigido a los institutos educativos y a la industria de la ingeniería mecánica en Taiwán y Japón con señuelos de currículum falsos distribuidos a través de correos electrónicos de phishing de lanza para entregar un implante DLL llamado Pterois, que luego se utiliza para descargar el Cobalt Strike Shellcode.
PTerois también está diseñado para descargar desde Google Drive Otro malware denominado Isurus que entonces es responsable de ejecutar el marco de Cobalt Strike posterior a la explotación. La campaña ha sido atribuida a un actor de amenaza de Asia Oriental con confianza media.
«El actor de amenaza tiene su sede en el este de Asia y ha estado activo desde diciembre de 2024 dirigidos a múltiples entidades basadas en la contratación en Taiwán y Japón», dijo el investigador de seguridad Subhajeet Singha.
«El actor de amenaza se basa en el desarrollo personalizado de implantes que comprenden descargadores, cargadores de shellcode y cobalto como sus herramientas clave con un gran dependencia de las técnicas de evasión múltiple como el hash de API, las calificaciones directas, la devolución de llamada de las funciones, la carga lateral de DLL y la autodeletión autodeinal