Un grupo patrocinado por el estado de Beijing, conocido como Daggerfly, ha estado llevando a cabo ataques contra organizaciones en Taiwán y una ONG de EE. UU. en China. Esto ha sido posible gracias a un conjunto mejorado de herramientas de malware.
El equipo de Threat Hunter de Symantec, parte de Broadcom, ha revelado que Daggerfly también se dedica al espionaje interno. Han explotado una vulnerabilidad en un servidor Apache HTTP para entregar su malware MgBot.
Daggerfly, también conocido como Bronze Highland y Evasive Panda, ya se sabe que ha utilizado el marco de malware modular MgBot en misiones de recolección de inteligencia dirigidas a proveedores de servicios de telecomunicaciones en África, desde 2012.
El grupo tiene la capacidad de actualizar rápidamente su conjunto de herramientas, lo que les permite continuar sus actividades de espionaje con la menor interrupción posible.
Los últimos ataques se caracterizan por el uso de una nueva familia de malware basada en MgBot y una versión mejorada del malware de Apple macOS llamado MACMA. Esta es la primera vez que MACMA se vincula explícitamente a un grupo de hackers en particular.
Las conexiones de MACMA con Daggerfly se derivan de superposiciones de código fuente entre el malware y Mgbot, así como del uso compartido de un servidor de control y comando (C2) (103.243.212[.]98) por parte de un dropper de MgBot.
Otro nuevo malware en su arsenal es Nightdoor (también conocido como NetMM y Suzafk), un implante que utiliza la API de Google Drive para C2 y que ha sido utilizado en ataques dirigidos a usuarios tibetanos desde al menos septiembre de 2023. ESET documentó este tipo de actividad por primera vez a principios de marzo.
El grupo tiene la capacidad de crear versiones de sus herramientas para la mayoría de las plataformas de sistemas operativos principales, incluyendo la capacidad de insertar troyanos en APK de Android, herramientas de intercepción de SMS, herramientas de intercepción de solicitudes DNS e incluso familias de malware dirigidas al sistema operativo Solaris.
Estos desarrollos se producen después de que el Centro Nacional de Respuesta de Emergencia de Virus Informáticos de China (CVERC) afirmara que Volt Typhoon, al que las naciones del Grupo de los Cinco Ojos han atribuido como un grupo de espionaje con vínculos con China, es una invención de las agencias de inteligencia de EE. UU., describiéndolo como una campaña de desinformación.
Vía The Hacker News
