Grupos de espionaje cibernético vinculados a China han sido asociados con una larga campaña que ha infiltrado varios operadores de telecomunicaciones ubicados en un solo país asiático al menos desde 2021.
Según Symantec Threat Hunter Team, que forma parte de Broadcom, los atacantes instalaron puertas traseras en las redes de las empresas objetivo y también intentaron robar credenciales.
La firma de ciberseguridad no reveló el país que fue atacado, pero dijo que encontró evidencia que sugiere que la actividad cibernética maliciosa podría haber comenzado en 2020.
Además de operadores de telecomunicaciones, los ataques también apuntaron a una empresa de servicios no identificada que atendía al sector de las telecomunicaciones y a una universidad en otro país asiático.
Los agresores utilizaron herramientas similares a las empleadas por otros grupos de espionaje chinos como Mustang Panda, RedFoxtrot y Naikon en los últimos años, incluyendo puertas traseras personalizadas rastreadas como COOLCLIENT, QUICKHEAL y RainyDay.
Aunque la vía de acceso inicial utilizada para infiltrar los objetivos no se conoce, la campaña desplegó herramientas de escaneo de puertos y realizó robo de credenciales a través de la volcadura de colmenas de registro de Windows.
El hecho de que las herramientas estén vinculadas a tres grupos diferentes plantea la posibilidad de que los ataques se estén llevando a cabo de forma independiente, un solo actor de amenazas esté utilizando herramientas adquiridas de otros grupos, o diversos actores estén colaborando en una sola campaña.
El motivo detrás de las intrusiones no está claro, aunque los actores de amenazas chinos tienen un historial de dirigirse al sector de las telecomunicaciones en todo el mundo.
En 2023, Kaspersky expuso una campaña de malware ShadowPad que apuntaba a una empresa nacional de telecomunicaciones de Pakistán. Symantec postuló que los atacantes podrían haber estado recopilando inteligencia sobre el sector de las telecomunicaciones en ese país o buscando construir una capacidad disruptiva contra la infraestructura crítica.
Vía The Hacker News
