Dos grupos de amenazas persistentes avanzadas (APT) vinculados con China están realizando una campaña de ciberespionaje contra entidades y países de la Asociación de Naciones del Sudeste Asiático (ASEAN). Durante los últimos 3 meses, Mustang Panda (también llamado Camaro Dragon, Earth Preta y Stately Taurus) ha utilizado correos electrónicos de phishing para atacar objetivos en Myanmar, Filipinas, Singapur y Japón. Se utilizan dos paquetes de malware: Talking_Points_for_China.exe, que carga un archivo DLL y finalmente despliega PULOAD; y un protector de pantalla que se utiliza para recuperar un código malicioso de una dirección IP remota. Además, el tráfico de red también ha sido identificado entre una entidad de ASEAN y la infraestructura C2 de un segundo grupo APT chino.
Otro grupo chino de APT, conocido como Earth Krahang, ha dirigido su atención a 116 entidades en 35 países, utilizando ataques de spear-phishing y fallas en servidores públicos de Openfire y Oracle para distribuir malware específico. Trend Micro ha identificado un fuerte enfoque del grupo en el sudeste asiático y ha relacionado a Earth Krahang con el grupo Earth Lusca. Se cree que ambos grupos son manejados por el mismo actor de amenazas y están conectados a un contratista del gobierno chino llamado I-Soon.
Recientemente, se filtraron en GitHub documentos de I-Soon, exponiendo cómo la compañía vende una variedad de herramientas de ciberespionaje a múltiples entidades gubernamentales chinas. La filtración también ha revelado detalles sobre la relación de I-Soon con tres grupos de ciberespionaje patrocinados por el estado chino y el concurso de hacking conocido como Tianfu Cup. Esta filtración ha permitido una mejor comprensión de la madurez del ecosistema de ciberespionaje de China.
Vía The Hacker News
