Un grupo conocido como Patchwork está vinculado a un reciente ciberataque dirigido a entidades relacionadas con Bután. Durante el ataque, distribuyeron Brute Ratel C4 y una versión actualizada de PGoShell, marcando la primera vez que se les observa utilizando este software de red teaming. Este análisis fue publicado por el equipo Knownsec 404 la semana pasada. Patchwork, también conocido como APT-C-09, Elefante Caido, Operación Resaca, Tigre Virrey y Zinc Emerson, es un actor patrocinado por un estado y posiblemente de origen indio.
Se han llevado a cabo ataques dirigidos a China y Pakistán a través de spear-phishing y el punto de agua. Se cree que estas actividades del grupo de piratas informáticos se remontan a por lo menos 2009, según datos de la firma china de ciberseguridad QiAnXin. Knownsec 404 reveló recientemente detalles de una campaña de espionaje dirigida a universidades y organizaciones de investigación en China que utilizaba un implante basado en .NET llamado EyeShell.
En febrero se descubrió que Patchwork había utilizado señuelos temáticos de romance para atrapar víctimas en Pakistán e India, comprometiendo sus dispositivos Android con un troyano de acceso remoto llamado VajraSpy. El último ataque observado comienza con un archivo de acceso directo (LNK) de Windows que descarga un documento PDF simulado de un dominio remoto. Este dominio falso impersona al Fondo de Adaptación respaldado por la UNFCCC, mientras despliega sigilosamente Brute Ratel C4 y PGoShell recuperados de un dominio diferente («beijingtv[.]org«).
El PGoShell está desarrollado en el lenguaje de programación Go y ofrece una amplia gama de funcionalidades, incluido un shell remoto, captura de pantalla y descarga y ejecución de cargas útiles. Este ataque es similar a los llevados a cabo por APT-K-47, otro actor de amenazas con superposiciones tácticas con SideWinder, Patchwork, Confucius y Bitter, que ha sido atribuido a ataques que involucraban el uso de ORPCBackdoor, así como malware previamente no documentado. Dichos ataques también despliegan un marco de comando y control de código abierto conocido como Nimbo-C2, que permite una amplia gama de funcionalidades de control remoto.
Vía The Hacker News
