Los especialistas de SEKOIA y Trend Micro publicaron informes sobre la actividad del grupo de hackers chino APT27 (también conocido como Panda Emisario, tigre de hierro, y ratón afortunado) y dijo que los piratas informáticos introdujeron una puerta trasera en el mensajero MiMi.
Los atacantes crearon una versión maliciosa multiplataforma del mensajero chino. mimí (secreto, «secreto» en chino), y usarlo para atacar Windows, linux, y usuarios de macOS.
Déjame recordarte que también escribimos eso. Los piratas informáticos chinos utilizan el ransomware como tapadera para el espionaje, y también eso Los hackers chinos utilizan Vulnerabilidad de día 0 de Zimbra hackear medios y autoridades europeas.
Así que, SEKOIA Los investigadores escriben que MiMi para la versión macOS. 2.3.0 fue hackeado hace casi cuatro meses, en mayo 26, 2022. El compromiso fue descubierto durante el análisis de la infraestructura del hiperbro troyano de acceso remoto asociado con APT27: el malware contactó con la aplicación, lo que a los expertos les pareció sospechoso.
Tendencia Micro Los analistas también han notado esta campaña. (independientemente de sus colegas) y ahora informan que han identificado versiones antiguas troyanizadas de MiMi dirigidas a Linux (puerta trasera rshell) y Windows (rata hiperbro).
Al mismo tiempo, la muestra más antigua de rshell para Linux tiene fecha de junio 2021, y la primera víctima de esta campaña se conoció a mediados de julio. 2021. En total, al menos 13 diferentes organizaciones en Taiwán y Filipinas fueron atacadas, de los cuales ocho fueron afectados por proyectiles.
Los expertos dicen que en el caso de macOS, El código JavaScript malicioso inyectado en MiMi verifica si la aplicación se está ejecutando en Mac y luego descarga y ejecuta la puerta trasera rshell.. Después del lanzamiento, el malware recopila y envía información del sistema a sus operadores y espera más comandos.
Los piratas informáticos pueden utilizar el malware para enumerar archivos y carpetas y leer, escribir, y descargar archivos en sistemas comprometidos. Además, La puerta trasera puede robar datos y enviar archivos específicos a su servidor de control..
Según los expertos, la conexión de esta campaña con APT27 es obvia. De este modo, los ciberdelincuentes’ La infraestructura utiliza una variedad de direcciones IP ya conocidas por los especialistas en seguridad de la información.. Además, Ya se han observado campañas similares antes.. Por ejemplo, Se introdujo una puerta trasera en el Escritorio capaz Mensajero (Operación Tridente sigiloso), y el código malicioso fue empaquetado utilizando el ya conocido herramienta asociado con APT27.
Vale la pena enfatizar que es imposible decir que estamos hablando de un ataque a la cadena de suministro.. El caso es que según Trend Micro, Los piratas informáticos controlan los servidores que alojan los instaladores de MiMi., y los expertos sugieren que se trata de un compromiso de un mensajero legítimo y no demasiado popular dirigido a la audiencia china..
Sucesivamente, Los analistas de SEKOIA dicen que MiMi parece muy sospechosa: el sitio asociado con el mensajero (www.mmimchat[.]com) no contiene una descripción detallada de la aplicación, condiciones de uso y enlaces a redes sociales. Comprobación de la legitimidad de la empresa promotora. Tecnología de la información Co. de Xiamen Baiquan.. Limitado. también falló. Como resultado, Los expertos de SEKOIA escriben que los piratas informáticos podrían haber desarrollado el mensajero, que inicialmente es una herramienta maliciosa para rastrear objetivos específicos”.
