Un ataque de ransomware mundial de RA en noviembre de 2024 dirigido a una compañía de software y servicios asiáticos no identificados implicó el uso de una herramienta maliciosa utilizada exclusivamente por grupos de ciber espionaje con sede en China, lo que plantea la posibilidad de que el actor de amenaza pueda ser iluminado como un reproductor de ransomware en un individuo capacidad.
«Durante el ataque a fines de 2024, el atacante desplegó un conjunto de herramientas distinto que anteriormente había sido utilizado por un actor vinculado a China en ataques de espionaje clásicos», dijo el equipo de cazadores de amenazas de Symantec, parte de Broadcom, en un informe compartido con The Hacker News .
«En todas las intrusiones anteriores que involucraban el conjunto de herramientas, el atacante parecía estar involucrado en un espionaje clásico, aparentemente interesado únicamente en mantener una presencia persistente en las organizaciones específicas al instalar traseros».
Esto incluyó un compromiso de julio de 2024 del Ministerio de Relaciones Exteriores de un país en el sudeste de Europa que implicó el uso de técnicas clásicas de carga lateral de DLL para implementar el actor ANGLX (también conocido como KorPlug), un malware utilizado repetidamente por el actor Mustang Panda (también conocido como FireAnt y Reddelta). .
Específicamente, las cadenas de ataque implican el uso de un ejecutable legítimo de Toshiba llamado «Toshdpdb.exe» para que se vaya a una dll maliciosa llamada «Toshdpapi.dll», que, a su vez, actúa como un conducto para cargar la carga útil de Tugin.
Se han observado otras intrusiones vinculadas al mismo conjunto de herramientas en relación con ataques dirigidos a dos entidades gubernamentales diferentes en el sureste de Europa y el sudeste asiático en agosto de 2024, un operador de telecomunicaciones en septiembre de 2024 y otro ministerio gubernamental en un país del sudeste asiático diferente en enero de 2025.
Sin embargo, Symantec señaló que observó que la variante Plugx se implementa en noviembre de 2024 como parte de una campaña de extorsión criminal contra una compañía de software y servicios de tamaño mediano en el sur de Asia.
No está exactamente claro cómo se comprometió la red de la compañía, aunque el atacante afirmó haberlo hecho explotando un defecto de seguridad conocido en el software PAYA ALTO PAN-OS (CVE-2024-0012). El ataque culminó con las máquinas encriptadas con el ransomware RA World, pero no antes de que el binario de Toshiba se usara para lanzar el malware Plugx.
En este punto, vale la pena señalar que los análisis previos de la Unidad de Cisco Talos y Palo Alto Networks 42 han descubierto superposiciones de artesanías entre RA World (anteriormente llamado RA Group) y un grupo de amenazas chino conocido como Bronce Starlight (también conocido como Tormenta 401 y el emperador Dragonfly) Eso tiene un historial de uso de familias de ransomware de corta duración.
Si bien no se sabe por qué un actor de espionaje también está llevando a cabo un ataque con motivación financiera, Symantec teorizó que un actor solitario probablemente está detrás del esfuerzo y que intentaban obtener algunas ganancias rápidas en el lado. Esta evaluación también se alinea con el análisis de Sygnia de la libélula del emperador en octubre de 2022, que describió como un «actor de una sola amenaza».
Esta forma de iluminación de la luna, aunque rara vez se observa en el ecosistema de piratería chino, es mucho más frecuente entre los actores de amenaza de Irán y Corea del Norte.
«Otra forma de actividad motivada financieramente que respalda los objetivos estatales son los grupos cuya misión principal puede ser el espionaje patrocinado por el estado, ya sea tácitamente o explícitamente, realizar operaciones motivadas financieramente para complementar sus ingresos», dijo el Grupo de Inteligencia de Amenazos de Google (GTIG) en Un informe publicado esta semana.
«Esto puede permitir que un gobierno compense los costos directos que se requerirían para mantener grupos con capacidades sólidas».
Salt Typhoon Explota dispositivos vulnerables de Cisco para violar las empresas de telecomunicaciones
El desarrollo se produce cuando el grupo de piratería de estado-estado chino denominado tifón de sal se ha vinculado a un conjunto de ataques cibernéticos que aprovechan fallas de seguridad conocidas en los dispositivos de la red Cisco (CVE-2023-20198 y CVE-2023-20273) para penetrar múltiples redes.
Se evalúa que la actividad cibernética maliciosa ha señalado a una afiliada con sede en los Estados Unidos de un significativo proveedor de telecomunicaciones con sede en el Reino Unido, un proveedor de telecomunicaciones sudafricano y un servicio de Internet italiano y un gran proveedor de telecomunicaciones de Tailandia basado en comunicaciones detectadas entre los dispositivos de Cisco infectados entre Cisco infectados y la infraestructura del actor de amenaza.
Los ataques tuvieron lugar entre el 4 de diciembre de 2024 y el 23 de enero de 2025, dijo el grupo Insikt de Future, agregó el adversario, también rastreado como Estries de Tierra, FamosoSsparrow, Ghostemperor, Redmike y UNC2286, intentó explotar más de 1,000 dispositivos de Cisco Globally durante el plazo.
Más de la mitad de los electrodomésticos de Cisco objetivo se encuentran en los Estados Unidos, América del Sur e India. En lo que parece ser una ampliación del enfoque de la orientación, el tifón de sal también se ha observado dispositivos asociados con más de una docena de universidades en Argentina, Bangladesh, Indonesia, Malasia, México, los Países Bajos, Tailandia, los Estados Unidos y Vietnam.
«Redmike posiblemente se dirigió a estas universidades para acceder a la investigación en áreas relacionadas con las telecomunicaciones, la ingeniería y la tecnología, particularmente en instituciones como UCLA y Tu Delft», dijo la compañía.
El actor de amenazas sigue un compromiso exitoso que utiliza los privilegios elevados para cambiar la configuración del dispositivo y agregar un túnel de encapsulación de enrutamiento genérico (GRE) para acceso persistente y exfiltración de datos entre los dispositivos Cisco comprometidos y su infraestructura.
El uso de dispositivos de red vulnerables como puntos de entrada a las víctimas objetivo se ha convertido en un libro de jugadas estándar para el tifón de sal y otros grupos de piratería chinos como el tifón Volt, en parte debido al hecho de que carecen de controles de seguridad y no están respaldados por la detección y respuesta de los puntos finales (EDR) Soluciones.
Para mitigar el riesgo planteado por dichos ataques, se recomienda que las organizaciones prioricen la aplicación de parches de seguridad disponibles y actualizaciones a dispositivos de red de acceso público y eviten exponer interfaces administrativas o servicios no esenciales a Internet, particularmente para aquellos que han alcanzado el final de Vida (EOL).
Actualizar
Cisco compartió la siguiente declaración con The Hacker News después de la publicación de la historia –
Somos conscientes de los nuevos informes de que los actores de amenaza de typhoon de sal de reclamo están explotando dos vulnerabilidades conocidas en dispositivos Cisco relacionados con iOS XE. Hasta la fecha, no hemos podido validar estas afirmaciones, sino continuar revisando los datos disponibles. En 2023, emitimos un asesoramiento de seguridad que revela estas vulnerabilidades junto con la orientación para que los clientes apliquen urgentemente la solución de software disponible. Aconsejamos a los clientes que reparen vulnerabilidades conocidas que se han revelado y siguen las mejores prácticas de la industria para asegurar los protocolos de gestión.