Revelando una cibersaga reciente, Los expertos de SentinelLabs han descubierto una fuerza digital amenazante., centrarse estratégicamente en las organizaciones rusas. En su trabajo detectivesco, han rastreado el siniestro rastro hasta el famoso grupo chino APT, Una revelación corroborada por los ojos vigilantes del CERT de Ucrania. (CERT-UA).
La trama se complica a medida que los adversarios despliegan tácticas astutas., aprovechando correos electrónicos de phishing como caballos de Troya, entregar documentos malévolos de Office armados con Bisonal, el troyano de acceso remoto preferido del inframundo (RATA). Como un eco cibernético, Estas mismas técnicas repercutieron a través de fronteras., Apuntando a víctimas desprevenidas en organizaciones paquistaníes., una sinfonía siniestra observada meticulosamente por las mentes agudas de SentinelLabs.
En el gran teatro de la guerra digital, China ocupa un lugar central, orquestando una miríada de campañas contra Rusia, un crescendo de represalia tras its invasion of Ukraine.
El 22 de junio 2022 CERT-UA hizo un lanzamiento público de Alerta #4860 que presenta varios documentos creados con la ayuda del creador de documentos maliciosos Royal Road y elaborados para reflejar los intereses del gobierno ruso.. Los especialistas de SentinelLabs analizaron más a fondo el informe del CERT-UA y confirmaron la participación de un Grupo chino APT.
La actividad maliciosa se produce en medio de otros ataques chinos contra Rusia como el de los Piratas Espaciales., Mustang Panda, Escarabajo, pero aquí está la actividad china separada. La identidad del actor específico no está clara hasta el momento., aunque sigue estando claro que los grupos chinos APT apuntan a una amplia gama de diferentes organizaciones rusas.
¿Quién puede estar detrás del ataque??
Los especialistas de SentinelLabs especulan que el Tonto Team APT (“Tierra Akhlut”, “CactusPete”) grupo, reportado durante casi una década, podría ser el posible culpable de los ataques. Sin embargo, Destacan que es prematuro sacar conclusiones definitivas basadas en los datos actualmente disponibles..
Los documentos maliciosos se utilizan generalmente para la entrega de malware personalizado., como la RAT Bisonal, que como lo señala CERT-UA, es exclusivo de los grupos chinos, incluido el equipo Tonto. bisonal tiene una historia excepcionalmente larga de uso y desarrollo continuo por parte de sus creadores, como la ampliación de funciones para la búsqueda y exfiltración de archivos, técnicas de antianálisis y detección, y mantener un control del sistema generalmente sin restricciones,» va en un informe publicado por SentinelLabs.
El grupo Tonto Team APT también apuntó a múltiples víctimas en todo el mundo, incluidos objetivos de su interés particular en el noreste de Asia, como empresas privadas., infraestructura crítica, gobiernos, etc.. El grupo se ha centrado especialmente en sus intereses en objetivos rusos durante los últimos años, pero recientemente los especialistas han observado un aumento significativo de actividad en esta dirección..
Evaluamos con alta confianza que los documentos maliciosos creados por Royal Road, malware entregado, y la infraestructura asociada son atribuibles a actores de amenazas chinos. Basado en nuestras observaciones, Ha habido un esfuerzo continuo para atacar a las organizaciones rusas mediante este grupo a través de métodos de ataque bien conocidos: el uso de documentos maliciosos que explotan vulnerabilidades de n días con señuelos específicamente relevantes para las organizaciones rusas.,» también va en un informe de investigadores.
En general, el objetivo de los ataques parece estar relacionado con el espionaje., pero esa es una suposición limitada debido a la visibilidad externa de los investigadores.’ punto de vista.