Microsoft anunció el día de ayer de la exitosa incautación de 42 dominios utilizados por un grupo de ciberespionaje con sede en China que puso sus miras en organizaciones de Estados Unidos, Chile, Argentina, México y de otros 25 países, en virtud de una orden judicial emitida por un tribunal federal del estado norteamericano de Virginia.
La compañía de Redmond atribuyó las actividades maliciosas a un grupo denominado Nickel, y por parte de la industria de la ciberseguridad en general bajo los apelativos APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon y Vixen Panda. Se sospecha que el actor de la amenaza ha estado activo desde al menos dese 2012.
«Nickel ha tenido como objetivo organizaciones tanto del sector privado como del público, incluyendo organizaciones diplomáticas y ministerios de asuntos exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África«, dijo el Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft, Tom Burt.
La infraestructura falsa permitió al equipo APT15 en mantener el acceso a largo plazo a las máquinas comprometidas y ejecutar ataques con fines de recopilación de información y tareas de Ciberinteligencia, dirigidos a las agencias gubernamentales no identificadas, grupos de reflexión y organizaciones de derechos humanos como parte de una campaña de espionaje digital que se remonta a septiembre del 2019.
Microsoft declaro los ciberataques como «altamente sofisticados«, han estado utilizando una multitud de técnicas de intrusión, incluyendo la violación de los servicios de acceso remoto y la explotación de las vulnerabilidades en los dispositivos VPN sin sus correspondientes parches, así como los sistemas de Exchange Server y SharePoint para «insertar malware difícil de detectar que facilita la intrusión, la vigilancia y el robo de datos.»
Los países objetivos de Nickel son los siguientes:
- Argentina
- Barbados
- Bosnia y Herzegovina
- Brasil
- Bulgaria
- Chile
- Colombia
- Croacia
- República Checa
- República Dominicana
- Ecuador
- El Salvador
- Francia
- Guatemala
- Honduras
- Hungría
- Italia
- Jamaica
- Mali
- México
- Montenegro
- Panamá
- Perú
- Portugal
- Suiza
- Trinidad y Tobago
- Reino Unido
- Estados Unidos
- Venezuela

El modus operandi de Nickel para comprometer los sistemas de una organización es la siguiente. Traz conseguir un punto de apoyo inicial de acceso, Nickel despliega una cantidad de herramientas de uso de credenciales y robos de estos mismos como Mimikatz y WDigest, para comprometer las cuentas de las víctimas, seguido de la entrega un de malware personalizado que permitía al actor mantener la persistencia en las redes de las víctimas durante largos períodos de tiempo y llevar a cabo la exfiltración de archivos, luego ejecuta un shellcode arbitrario y empieza a recopilar los correos electrónicos de cuentas de Microsoft 365, utilizando credenciales comprometidas.
Las múltiples familias de backdoors utilizadas para establecer comunicación con el servidor de Comando y Control (C2), están siendo rastreadas como:
- Neoichor
- Leeson
- NumbIdea
- NullItch
- Rokum
La última oleada de ataques se suma a una extensa lista de campañas de software de vigilancia montadas por el grupo APT15 en los últimos años. Se tiene registros que en julio del 2020, la empresa de seguridad móvil Lookout reveló 4 aplicaciones legítimas troyanizadas (llamadas SilkBean, DoubleAgent, CarbonSteal y GoldenEagle) que se dirigían a la minoría étnica uigur y a la comunidad tibetana con el objetivo de recopilar datos personales de los usuarios a servidores de C2, operados por el adversario.
«A medida que la influencia de China en todo el mundo sigue creciendo y la nación establece relaciones bilaterales con más países y amplía las asociaciones en apoyo de la Iniciativa del Cinturón y la Ruta de China, evaluamos que los actores de amenazas con base en China seguirán apuntando a los clientes en los sectores gubernamental, diplomático y de ONG para obtener nuevos conocimientos, probablemente en busca de espionaje económico o de objetivos tradicionales de recopilación de inteligencia«, dijo Microsoft en su reporte.
Más información
https://blogs.microsoft.com/on-the-issues/2021/12/06/cyberattacks-nickel-dcu-china/
https://malpedia.caad.fkie.fraunhofer.de/actor/mirage
https://www.documentcloud.org/documents/21138968-nickel_bc_appendix_a_domains

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.