Expertos de ESET encontró que durante las protestas que comenzaron en marzo 2019, Winnti atacó dos universidades anónimas de Hong Kong.
Los ataques fueron detectados en noviembre 2019 y comenzó con el descubrimiento del lanzador ShadowPad, que se encontró en varios dispositivos en dos universidades (poco después de la anterior campaña Winnti detectada en octubre de ese año).
“Encontramos una nueva variante de la puerta trasera ShadowPad, la puerta trasera insignia del grupo, implementado usando un nuevo lanzador e incorporando numerosos módulos. El malware Winnti también se encontró en estas universidades unas semanas antes de ShadowPad”., — escriben los investigadores de ESET.
El grupo Winnti, que ha estado funcionando al menos desde 2012, es responsable de los conocidos ataques a la cadena de suministro en la industria de los videojuegos y el software, lo que resultó en la propagación del programa troyano. Esa vez fueron atacados CCleaner, Actualización en vivo de ASUS, y varios videojuegos. Estos ciberdelincuentes también son conocidos por poner en peligro diversos objetos en los sectores de la salud y la educación..
Según expertos en seguridad de la información, Los ataques a las universidades de Hong Kong fueron el objetivo, ya que el malware Winnti y la puerta trasera modular Shadowpad contenían C&C URL e identificadores de campaña directamente relacionados con los nombres de las instituciones educativas afectadas.
“Además de las dos universidades comprometidas, gracias a la c&Formato de URL C utilizado por los atacantes, tenemos razones para pensar que al menos tres universidades más de Hong Kong pueden haber sido comprometidas usando estas mismas variantes de ShadowPad y Winnti”., – dicen los investigadores.
Los expertos creen que el objetivo final de los atacantes era sin duda la recopilación y el robo de datos de las máquinas pirateadas.. Por lo tanto, la opción ShadowPad, detectado en dispositivos infectados, tenía las funciones de un keylogger y podía tomar capturas de pantalla usando la funcionalidad de 2 del 17 módulos que incluían el malware.
También se señala que durante esta campaña, el lanzador ShadowPad fue reemplazado por uno más simple que no usaba la ofuscación de VMProtec, pero usó cifrado XOR en lugar del algoritmo de cifrado de bloques RC5.
La campaña del Grupo Winnti contra las universidades de Hong Kong se llevó a cabo en el contexto de que Hong Kong enfrenta protestas cívicas que comenzaron en junio. 2019 y fueron provocados por un proyecto de ley de extradición. Aunque el proyecto de ley fue retirado en octubre 2019, continuaron las protestas, exigiendo plena democracia e investigación de la policía de Hong Kong. Estas protestas reunieron a cientos de miles de personas en las calles con un gran apoyo de los estudiantes de las universidades de Hong Kong., lo que llevó a múltiples ocupaciones de campus universitarios por parte de los manifestantes..
Ataques de piratas informáticos patrocinados por el gobierno, ambos against their citizens y against foreign companies, se convirtió en un verdadero problema en 2019. Their number has skyrocketed. La guerra cibernética está en marcha en el mundo y si quieres no ser vulnerable a las amenazas a la información, utilice un software antivirus confiable.
