Ciberespionaje. | PIXABAY

TW
0

La compañía de ciberseguridad Palo Alto Networks ha alertado en un informe sobre la actividad de un grupo chino de amenazas persistentes avanzadas (APT, por sus siglas en inglés), una campaña de ciberespionaje que ha estado dirigida a entidades políticas en Medio Oriente, África y Asia desde finales de 2022. El modus operandi de estos ciberatacantes consistía en la infiltración en servidores de correo electrónico de sus objetivos para la búsqueda de información sobre acontecimientos geopolíticos.

El análisis llevado a cabo por la Unit 42 de la empresa de ciberseguridad revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales diferentes. «El atacante llevó a cabo grandes esfuerzos de recopilación de inteligencia a gran escala, utilizando técnicas inusuales de exfiltración de correos electrónicos contra servidores comprometidos», detalla el documento.

Gracias a la observación de los temas buscados por los atacantes, bajo esta operación -bautizada por los investigadores como 'Operation Diplomatic Spectre'-, Palo Alto Networks ha podido conocer "sus prioridades y su alineación con China". Se cree que este actor de amenazas sigue de cerca los acontecimientos geopolíticos contemporáneos e intenta filtrar información a diario.

En los casos observados, el modus operandi de este consistía en infiltrarse en los servidores de correo de los objetivos y buscar información en ellos. A su vez, al intentar frustrar varios esfuerzos de mitigación, demostró adaptabilidad y trató de mantener una presencia persistente en los entornos comprometidos mediante el uso de dos nuevas cepas de 'malware' no documentadas hasta entonces: SweetSpecter y TunnelSpecter.

Esta campaña se enfoca principalmente en asuntos geopolíticos actuales. Por tanto, el esfuerzo de recopilación incluía intentos de obtener información sensible y clasificada sobre las siguientes entidades: misiones diplomáticas y económicas, embajadas, operaciones militares, reuniones políticas, ministerios de los países objetivo y altos funcionarios

Según los expertos de la unidad de investigación, el continuo uso de los exploits de servidores Exchange (ProxyLogon CVE-2021-26855 y ProxyShell CVE-2021-34473) por parte del actor de amenazas para el acceso inicial, "subraya aún más la importancia de que las empresas refuercen los activos sensibles expuestos a Internet".