Una tríada de grupos de actividad maliciosa vinculados a China han comprometido organismos gubernamentales en el sudeste asiático como parte de una operación estatal renovada denominada Crimson Palace. Este ataque marca una expansión en el alcance del espionaje.
La empresa de ciberseguridad Sophos ha identificado tres conjuntos de intrusiones rastreados como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) y Cluster Charlie (STAC1305). STAC es una abreviatura de «grupo de actividad maliciosa en seguridad».
Estos atacantes utilizaron redes comprometidas de organizaciones y servicios públicos en la región para distribuir malware y herramientas bajo la apariencia de un punto de acceso confiable. Los ataques también implican el uso de sistemas de una organización no nombrada como punto de retransmisión de comando y control (C2) y como terreno de operaciones para herramientas.
Crimson Palace fue documentado por primera vez por Sophos a principios de junio de 2024, con los ataques llevándose a cabo entre marzo de 2023 y abril de 2024. Los ataques abarcan la interrupción de sistemas desde los servidores de Exchange comprometidos.
La actividad del Cluster Bravo, que se superpone con un grupo amenaza llamado Unfading Sea Haze, se limitó a marzo de 2023. Mientras que una nueva ola de ataques detectada entre enero y junio de 2024 apunta a otras 11 organizaciones y agencias en la misma región.
El Cluster Charlie, conocido como Earth Longzhi, ha llevado a cabo una serie de nuevos ataques entre septiembre de 2023 y junio de 2024, algunos de los cuales involucran marcos C2 como Cobalt Strike, Havoc y XieBroC2 para la postexplotación y la entrega de cargas adicionales como SharpHound para el mapeo de la infraestructura de Active Directory.
Los atacantes siguen enfocados en la extracción de datos de valor estratégico y en restablecer y extender su control en la red objetivo. Además, se observó una fuerte dependencia de la usurpación de DLL para ejecutar malware y la utilización de programas de código abierto para terminar procesos antivirus y ofuscar archivos ejecutables.
Complementando su arsenal de malware se encuentra un keylogger desconocido denominado TattleTale, capaz de recolectar datos de los navegadores Google Chrome y Microsoft Edge. Este malware también recopila información sensible relacionada con políticas de contraseñas y configuraciones de seguridad.
En resumen, los tres conjuntos comprometen entornos objetivo, profundizan en las redes utilizando varios mecanismos de C2 y extraen datos valiosos. Durante todo el compromiso, el adversario parecía estar continuamente probando y perfeccionando sus técnicas, herramientas y prácticas. Esta operación subraya la sofisticación y persistencia de estos ciberataques.
Vía The Hacker News