Durante octubre y noviembre de 2023, y nuevamente en febrero de 2024, el grupo de amenazas cibernéticas UNC5174 (también conocido como Uteus o Uetus) llevó a cabo una campaña agresiva de ciberataques que comprometió a varias organizaciones gubernamentales de EE. UU. y el Reino Unido, empresas de Hong Kong e instituciones educativas de EE. UU. y el sudeste asiático. UNC5174 utilizó vulnerabilidades en software, incluyendo Atlassian Confluence, ConnectWise ScreenConnect, F5 BIG-IP, Kernel de Linux y Zyxel, para facilitar el acceso a los sistemas de sus objetivos.
Una vez que logró establecerse en las redes, UNC5174 creó cuentas de usuario administrativas para obtener privilegios elevados y ejecutar acciones maliciosas. El grupo también utilizó herramientas de software adicionales como SNOWLIGHT, GOREVERSE y GOHEAVY para descargar una carga útil remota, facilitar el movimiento lateral dentro de las redes comprometidas y llevar a cabo operaciones de acceso. Además, los analistas encontraron que aplicaban medidas de mitigación para la vulnerabilidad CVE-2023-46747 para evitar que otros delincuentes aprovechen la misma debilidad para obtener acceso.
Mandiant, propiedad de Google, evaluó que UNC5174 es anteriormente miembro de colectivos hacktivistas chinos como «Dawn Calvary» y ha colaborado con «Genesis Day«/»Xiaoqiying» y «Teng Snake«. Existen pruebas que sugieren que este grupo podría actuar como corredores de acceso iniciales y que cuenta con el respaldo del Ministerio de Seguridad del Estado chino (MSS) debido a sus presuntas afirmaciones en foros de la dark web. Esto se ve fortalecido por el hecho de que algunas entidades del gobierno británico y la defensa de EE. UU. fueron atacadas simultáneamente por otro corredor de acceso identificado como UNC302.
Los hallazgos de Mandiant subrayan los continuos esfuerzos de los grupos cibernéticos patrocinados por el estado chino para explotar vulnerabilidades de seguridad en sus operaciones de ciberespionaje a gran escala. Además, los investigadores de Mandiant descubrieron que UNC5174 intentó vender acceso a dispositivos de contratistas de defensa estadounidenses y entidades del gobierno británico e instituciones de Asia después de la explotación de CVE-2023-46747.
La actividad de UNC5174 adquiere mayor relevancia en el contexto de la advertencia del Ministerio de Seguridad del Estado chino en la que afirma que un grupo de hackers extranjero infiltró «cientos» de empresas y organizaciones gubernamentales chinas mediante phishing y aprovechamiento de vulnerabilidades de seguridad conocidas. Aunque el MSS no ha revelado el nombre ni el origen del grupo de amenazas extranjero.
Vía The Hacker News
