Actores de amenazas chinos han estado apuntando a los ministerios de relaciones exteriores y embajadas de los estados europeos en los últimos meses, según una nueva investigación.
La campaña de espionaje “representa una tendencia mayor dentro del ecosistema chino, que apunta a un cambio hacia entidades europeas, con un enfoque en su política exterior”, dijeron los investigadores de Ckeck Point el lunes en su investigación.
Se detectó a los actores de amenazas usando un nuevo método de entrega para implementar el implante de malware modular PlugX, introduciéndolo efectivamente de contrabando dentro de documentos HTML, algo que Check Point advirtió que «hasta hace poco ayudó a que la campaña pasara desapercibida».
Las muestras de señuelos publicados en el repositorio de malware VirusTotal tenían nombres de archivo que «sugieren fuertemente que las víctimas previstas eran diplomáticos y entidades gubernamentales«, según Check Point, mientras que el material del señuelo en sí «contenía contenido relacionado con la diplomacia», que «en más de un caso… estaba directamente relacionado con China”.
Estos señuelos incluían una carta supuestamente procedente de la Embajada de Serbia en Budapest, un documento que establece las prioridades de la presidencia sueca del Consejo de la Unión Europea y un artículo sobre dos abogados chinos de derechos humanos condenados a más de una década de prisión.
El contrabando de HTML es una técnica de piratería que se ha utilizado de varias formas durante años, aprovechando las características de HTML para ocultar datos y archivos de los filtros de contenido automatizados al incluirlos como blobs de JavaScript que se vuelven a ensamblar en la máquina del objetivo.
El malware PlugX, en sí, siguió siendo una variante reconocible de la herramienta, que anteriormente había sido utilizada por varios presuntos grupos de amenazas chinos, incluso para apuntar al Vaticano en 2020, un servicio de inteligencia de Indonesia en 2021 y Ucrania en 2022.
PlugX también se ha descubierto en unidades USB que se utilizan para dirigirse a personas en Mongolia, Papúa Nueva Guinea, Ghana, Zimbabue y Nigeria.
Palo Alto Networks publicó un extenso informe sobre el malware en 2021.
Check Point dijo que estaba rastreando la campaña como SmugX y dijo que «se superpone con la actividad informada anteriormente por los actores chinos APT RedDelta y Mustang Panda«.
“Si bien ninguna de las técnicas observadas en esta campaña es nueva o única, la combinación de las diferentes tácticas y la variedad de cadenas de infección que resultaron en bajas tasas de detección permitieron que los actores de amenazas permanecieran bajo el radar durante bastante tiempo”, advirtió.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
