Hackers apoyados por el estado chino lograron ingresar a una red informática de investigación y desarrollo no clasificados (I+D) utilizada por las fuerzas armadas holandesas a través de dispositivos Fortinet FortiGate. La intrusión fue detectada en 2023 y afectó a una red cerrada con menos de 50 usuarios, por lo cual no se produjo ningún daño en la red de defensa.
Los hackers explotaron una falla de seguridad crítica conocida en FortiOS SSL-VPN (CVE-2022-42475, CVSS score: 9.3) para desplegar una puerta trasera persistente llamada COATHANGER desde un servidor controlado por los actores. El malware COATHANGER evita ser detectado mediante una serie de técnicas sigilosas y es capaz de sobrevivir a reinicios y actualizaciones de firmware, según el Centro Nacional de Seguridad Cibernética (NCSC) de los Países Bajos.
Este ciberataque marca la primera vez que los Países Bajos atribuyen públicamente una campaña de espionaje cibernético a China. De acuerdo con Reuters, el malware COATHANGER recibe su nombre de un fragmento de código de un cuento de Roald Dahl.
Las autoridades estadounidenses tomaron medidas recientemente para desmantelar una botnet compuesta por routers Cisco y Netgear obsoletos utilizados por actores de amenazas chinos como Volt Typhoon para ocultar el origen del tráfico malicioso.
En el pasado, la firma Mandiant, propiedad de Google, reveló que el grupo de ciberespionaje UNC3886 con nexos en China explotaba zero-days en dispositivos Fortinet para desplegar implantes THINCRUST y CASTLETAP, con los cuales ejecuta comandos arbitrarios recibidos de un servidor remoto y exfiltra datos sensibles.
Vía: The Hacker News
