Los investigadores de Palo Alto Networks Unit 42, Lior Rochberger y Daniel Frank, informaron sobre la actividad de un grupo de amenazas que ha estado realizando operaciones de espionaje de larga duración contra al menos siete entidades gubernamentales. Según el informe compartido, el actor de amenazas se comprometió en esfuerzos de recopilación de inteligencia a gran escala, aprovechando técnicas poco comunes de filtración de correo electrónico contra servidores comprometidos.
La firma de ciberseguridad, que anteriormente había rastreado las actividades del grupo bajo el nombre CL-STA-0043, lo está reclasificando como un grupo temporal de actores con el nombre en clave TGR-STA-0043. Esto se debe a la evaluación de que el conjunto de intrusiones es obra de un solo actor que opera en nombre de los intereses chinos alineados con el estado.
Los objetivos de los ataques incluyen misiones diplomáticas y económicas, embajadas, operaciones militares, reuniones políticas, ministerios de países objetivo y altos funcionarios. El grupo fue detectado por primera vez en junio de 2023 como objetivo de agencias gubernamentales en Medio Oriente y África mediante técnicas poco comunes de robo de credenciales y filtración de correos electrónicos de Exchange.
Un análisis posterior descubrió superposiciones entre CL-STA-0043 y CL-STA-0002 derivadas del uso de un programa llamado Ntospy (también conocido como NPPSpy) para operaciones de robo de credenciales. Las cadenas de ataque orquestadas han involucrado un conjunto de puertas traseras no documentadas anteriormente, como TunnelSpecter y SweetSpecter, variantes del infame Gh0st RAT, herramienta común en campañas de espionaje orquestadas por piratas informáticos gubernamentales de Pekín.
TunnelSpecter recibe su nombre del uso del túnel DNS para la filtración de datos, lo que le otorga una capa adicional de sigilo. SweetSpecter recibe su nombre por sus similitudes con SugarGh0st RAT, otra variante personalizada de Gh0st RAT que ha sido utilizada por un presunto actor de amenazas de habla china desde agosto de 2023.
Ambas puertas traseras permiten al adversario mantener acceso sigiloso a las redes de sus objetivos, junto con la capacidad de ejecutar comandos arbitrarios, exfiltrar datos y desplegar malware y herramientas adicionales en los hosts infectados.
De acuerdo con los investigadores, el actor de amenazas parece monitorear de cerca los desarrollos geopolíticos contemporáneos, intentando exfiltrar información diariamente. Esto se logra a través de esfuerzos dirigidos para infiltrar los servidores de correo de los objetivos y buscar información de interés, en algunos casos intentando repetidamente recuperar el acceso cuando las actividades de los atacantes fueron detectadas y disruptivas.
El acceso inicial se logra mediante la explotación de fallos conocidos del servidor Exchange, como ProxyLogon y ProxyShell. Los expertos indicaron que el actor de amenazas buscó palabras clave particulares y exfiltró cualquier cosa relacionada con ellas, como archivos de correo electrónico archivados pertenecientes a misiones diplomáticas particulares o individuos, así como archivos relacionados con los temas que estaban buscando.
Los vínculos chinos con la Operación Diplomatic Specter provienen del uso de infraestructura operativa utilizada exclusivamente por grupos chino-nexos como APT27, Mustang Panda y Winnti, además de herramientas como la web shell China Chopper y PlugX. Según los investigadores, las técnicas de exfiltración observadas como parte de la Operación Diplomática Specter proporcionan una ventana clara a los posibles objetivos estratégicos del actor de amenazas detrás de los ataques.
En resumen, el actor de amenazas buscó información altamente sensible, que abarca detalles sobre operaciones militares, misiones diplomáticas, embajadas y ministerios de asuntos exteriores.
Vía The Hacker News