Sophos, líder mundial en soluciones de seguridad innovadoras para vencer ciberataques, ha publicado el informe “Operación Palacio Carmesí: la caza de amenazas revela grupos chinos patrocinados por el Estado que tienen como objetivo el Sudeste Asiático” que detalla un caso de espionaje altamente sofisticado que la compañía llevó a cabo durante un periodo de casi dos años contra un objetivo gubernamental de alto rango.
Durante la investigación de Sophos X-Ops, el equipo de expertos en inteligencia de amenazas de la compañía, que comenzó en 2023, los profesionales de detección y respuesta gestionada (MDR) encontraron tres grupos distintos con actividades dirigidas a la misma organización, dos de los cuales incluían tácticas, técnicas y procedimientos (TTP) similares a los de otros atacantes chinos: BackdoorDiplomacy, APT15 y el subgrupo APT41 Earth Longzhi.
Los atacantes diseñaron la operación para obtener conocimiento de usuarios específicos, así como información política, económica y militar confidencial, utilizando una amplia variedad de malware y herramientas a lo largo de la actividad, que Sophos ha llamado «Crimson Palace». Esto incluye malware nunca antes visto: una herramienta de persistencia que la compañía ha nombrado PocoProxy.
«Los diferentes grupos parecen haber trabajado para apoyar los intereses del Estado chino mediante la recopilación de inteligencia militar y económica sobre las estrategias del país objetivo en el Mar del Sur de China. En esta campaña en particular, creemos que los tres grupos trabajan en paralelo para atacar el mismo objetivo, bajo las directrices de una autoridad estatal. Sólo en uno de los tres, Alpha, observamos el uso de malware y TTP de otros cuatro grupos de amenazas chinos de los que se ha informado por separado. Es bien conocido que los atacantes chinos comparten infraestructura y herramientas, y esta reciente campaña es un recordatorio de cuán extensamente estos grupos comparten sus herramientas y técnicas», explica el director de caza de amenazas e inteligencia de Sophos, Paul Jaramillo.
«A medida que los gobiernos occidentales aumentan la concienciación sobre las ciberamenazas provenientes de China, este hallazgo de Sophos refuerza que centrarse demasiado en una única atribución china puede poner a las organizaciones en riesgo de no detectar tendencias sobre cómo estos atacantes coordinan sus operaciones. Por lo tanto, al tener una visión más amplia y profunda, las empresas e instituciones pueden hacer que sus defensas sean más eficaces», añade.
El equipo de Sophos X-Ops tuvo conocimiento de la actividad maliciosa en la red del objetivo en diciembre de 2022, cuando descubrieron una herramienta de extracción de datos utilizada anteriormente por el grupo de amenazas chino Mustang Panda. A partir de ahí, el equipo de MDR comenzó una búsqueda más amplia de actividad maliciosa. En mayo de 2023, Sophos descubrió un ejecutable vulnerable de VMWare y, tras analizarlo, tres grupos distintos activos en la red de la víctima: Cluster Bravo, Cluster Charlie y Cluster Alpha.
Cluster Alpha estuvo activo desde principios de marzo hasta agosto de 2023 y desplegó una variedad de malware centrado en desactivar protecciones avanzadas, escalar privilegios y reconocimiento. Esto incluía una versión actualizada del malware EAGERBEE, asociado al grupo de amenazas chino REF5961. El mismo cluster también utilizó TTPs y malware que se solapa con los grupos de amenazas chinos BackdoorDiplomacy, APT15, Worok y TA428.
El clúster Bravo sólo estuvo activo en la red objetivo durante un periodo de tres semanas en marzo de 2023 y se centró en moverse lateralmente por la red de la víctima para cargar un backdoor llamado CCoreDoor, el movimiento de archivos entre dos dispositivos. Este punto establece vías de comunicación externas para los atacantes, realiza descubrimientos y extrae contraseñas.
Cluster Charlie estuvo activo desde marzo de 2023 hasta al menos abril de 2024, centrándose en el espionaje y la extracción. Esto incluyó la implementación de PocoProxy, una herramienta de persistencia que se disfraza de ejecutable de Microsoft y establece comunicaciones con la infraestructura de control de los atacantes. Además, el grupo trabajó para extraer un gran volumen de datos confidenciales con fines de espionaje, incluidos documentos militares y políticos y credenciales/tokens para acceder posteriormente a la red. Cluster Charlie comparte TTP con el grupo de amenazas chino Earth Longzhi, un supuesto subgrupo de APT41. A diferencia de Cluster Alpha y Cluster Bravo, Cluster Charlie permanece activo.
«Lo que quedó claro con esta operación fue el agresivo desarrollo de las operaciones de ciberespionaje en el Mar de China Meridional. Tenemos múltiples grupos de amenazas, probablemente con recursos ilimitados, que atacan a la misma organización gubernamental de alto rango durante semanas o meses seguidos, y utilizan malware personalizado combinado con herramientas de acceso público. Eran -y siguen siendo- capaces de moverse a su antojo dentro de una organización, cambiando sus herramientas con frecuencia. Uno de los grupos sigue muy activo e intenta infiltrarse más.», explica Jaramillo.
Y añade: “Dada la frecuencia con la que estos grupos de amenazas chinos se apoyan y comparten herramientas, es posible que las TTP y el nuevo malware que hemos observado resurjan en otras operaciones en todo el mundo. Mantendremos informada a la comunidad de inteligencia de lo que descubramos a medida que prosigamos nuestras investigaciones sobre estos tres grupos».
Lee más sobre esta campaña de espionaje en “Operación Palacio Carmesí: La caza de amenazas revela grupos de actividad patrocinados por el Estado chino que tienen como objetivo el Sudeste Asiático” o sobre los tres grupos de actividad en “Operación Palacio Carmesí: Un análisis técnico en profundidad” en el sitio web de Sophos.
