Agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, Nueva Zelanda, Corea del Sur, el Reino Unido y los EE. UU. han emitido un aviso conjunto sobre el grupo de espionaje cibernético vinculado a China llamado APT40, advirtiendo sobre su capacidad para aprovechar exploits para fallas de seguridad recién reveladas en cuestión de horas o días después de su publicación.
El grupo de espionaje cibernético APT40, también conocido como Bronze Mohawk, Gingham Typhoon, ISLANDDREAMS y otros nombres, se sabe que está activo desde al menos 2013, llevando a cabo ataques cibernéticos contra entidades en la región de Asia-Pacífico. El colectivo se evalúa que está basado en Haikou.
En julio de 2021, los EE. UU. y sus aliados atribuyeron oficialmente al grupo afiliado al Ministerio de Seguridad del Estado de China (MSS), acusando a varios miembros de la banda de hackers de orquestar una campaña de varios años dirigida a diferentes sectores para facilitar el robo de secretos comerciales, propiedad intelectual e información de alto valor.
En los últimos años, APT40 ha sido vinculado a olas de intrusión entregando el marco de reconocimiento ScanBox y explotando una falla de seguridad en WinRAR (CVE-2023-38831, puntuación CVSS: 7.8) como parte de una campaña de phishing. APT40 también fue implicado en la compromisión de la Oficina del Consejo Parlamentario y el Servicio Parlamentario en 2021 en Nueva Zelanda.
El grupo APT40 es conocido por identificar nuevos exploits dentro de software público ampliamente utilizado y por realizar reconocimiento regular contra redes de interés. También se les atribuye el despliegue de web shells para establecer persistencia y mantener acceso al entorno de la víctima, así como el uso de sitios web australianos con fines de control y comando (C2).
Según Mandiant, propiedad de Google, este grupo de piratería patrocinada por el estado está llevando a cabo una transición más amplia en la actividad de espionaje cibernético originada en China. Esto implica la incorporación de dispositivos obsoletos o sin parches en su infraestructura de ataque y el uso de técnicas de vida fuera de la tierra (LotL) para pasar desapercibidos.
Para mitigar los riesgos planteados por tales amenazas, se recomienda a las organizaciones mantener mecanismos adecuados de registro, hacer cumplir la autenticación multifactor (MFA), implementar un sistema sólido de gestión de parches, reemplazar equipos obsoletos, deshabilitar servicios, puertos y protocolos no utilizados y segmentar las redes para evitar el acceso a datos sensibles.
Vía The Hacker News
