Se sospecha que Evasive Panda, un actor de amenazas vinculado a China y conocido por orquestar ataques de «watering hole» y de cadena de suministro, ha estado llevando a cabo ataques dirigidos a usuarios tibetanos desde septiembre de 2023. El objetivo de estos ataques es distribuir descargadores maliciosos que despliegan una puerta trasera conocida como MgBot y un implante de Windows anteriormente no documentado llamado Nightdoor. Los investigadores de ESET descubrieron que los atacantes comprometieron al menos tres sitios web para llevar a cabo ataques de «watering hole» y también infiltraron una cadena de suministro comprometida de una empresa de software tibetana. La campaña de ataque fue descubierta en enero de 2024 y se cree que se capitalizó en el Festival de Kagyu Monlam anual que tuvo lugar en India a fines de enero y febrero de 2024 para atacar a la comunidad tibetana en diferentes países y territorios, específicamente en India, Taiwán, Hong Kong, Australia y EE. UU.
El último conjunto de ataques también involucró la violación estratégica del sitio web de Trust de Kagyu International Monlam. Los atacantes colocaron un script en el sitio web que verifica la dirección IP de la víctima potencial y, si está dentro de uno de los rangos de direcciones objetivo, muestra una página de error falsa para incitar al usuario a descargar una ‘solución’ llamada certificado. Este archivo es un descargador malicioso que despliega la siguiente etapa en la cadena de compromiso. Además, la campaña es notable por infiltrarse en el sitio web y la cadena de suministro de una empresa de software india y para distribuir instaladores de software de traducción de idiomas tibetanos troyanizados para Windows y macOS.
Los investigadores también encontraron que los atacantes abusaron del sitio web y un sitio web de noticias tibetano llamado Tibetpost-tibetpost.net-para alojar las cargas útiles obtenidas por las descargas maliciosas, incluidas dos puertas traseras completas para Windows y un número desconocido de cargas útiles para macOS. La puerta trasera MgBot viene con funciones para recopilar información del sistema, lista de aplicaciones instaladas y procesos en ejecución; criar un shell inverso, realizar operaciones de archivo y desinstalarse del sistema infectado. Por otro lado, la última adición importante a la herramienta de Evasive Panda, Nightdoor, abusa de la API de Google Drive para el control de comando (C2) y ha sido utilizado para atacar varias redes en Asia Oriental.
Vía The Hacker News
