Una reciente campaña de espionaje cibernético dirigida a dispositivos de red perimetral de varios proveedores, incluido Cisco, parece haber sido llevada a cabo por actores vinculados a China, según nuevos hallazgos de la firma de ciberseguridad Censys.
Denominada ArcaneDoor, esta actividad habría comenzado alrededor de julio de 2023, con el primer ataque confirmado contra una víctima no identificada detectada a principios de enero de 2024.
Estos ataques dirigidos, supuestamente orquestados por un actor patrocinado por el estado, previamente no documentado y de sospechosa sofisticación, rastreado como UAT4356 (también conocido como Storm-1849), implicaron el uso de dos malware personalizados denominados Line Runner y Line Dancer.
Aunque la vía de acceso inicial utilizada para facilitar las intrusiones aún no se ha descubierto, se ha observado que el adversario aprovecha dos fallas ya corregidas en los Cisco Adaptive Security Appliances (CVE-2024-20353 y CVE-2024-20359) para mantener Line Runner.
Datos de telemetría recopilados revelaron que el actor de amenazas ha mostrado interés en los servidores de Microsoft Exchange y dispositivos de red de otros proveedores, según informó Talos el mes pasado.
Censys, al examinar las direcciones IP controladas por el actor, ha indicado que los ataques podrían estar relacionados con un actor de amenazas con base en China. Esto se fundamenta en el hallazgo de que cuatro de los cinco hosts en línea que presentan el certificado SSL asociado con la infraestructura de los atacantes están vinculados a sistemas autónomos (AS) de Tencent y ChinaNet.
Además, una dirección IP controlada por el actor de amenazas está asociada a un host en París (212.193.2[.]48) con el sujeto y el emisor establecidos como «Gozargah», que probablemente sea una referencia a una cuenta de GitHub que alberga una herramienta anti-censura llamada Marzban. Este software se basa en un proyecto de código abierto llamado Xray que tiene un sitio web en chino.
Esto sugiere que algunos de estos hosts estaban ejecutando servicios asociados con software anticensura, probablemente destinado a eludir el Gran Cortafuegos y que un número significativo de estos hosts se basa en redes chinas prominentes, lo que alimenta la teoría de que ArcaneDoor podría ser obra de un actor chino, según la teorización de Censys.
En los últimos años, actores estatales vinculados a China han atacado dispositivos de borde, aprovechando vulnerabilidades de día cero en Barracuda Networks, Fortinet, Ivanti y VMware para infiltrarse en objetivos de interés y desplegar malware para acceso encubierto persistente.
Este hallazgo surge luego de que la firma de ciberseguridad francesa Sekoia informara que logró apoderarse de un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023, gastando $7 para adquirir la dirección IP asociada a una variante del malware.
Un seguimiento más detallado de la dirección IP capturada (45.142.166[.]112) reveló la presencia del gusano en más de 170 países que abarcan 2.49 millones de direcciones IP únicas en un período de seis meses. La mayoría de las infecciones se detectaron en Nigeria, India, China, Irán, Indonesia, el Reino Unido, Irak, Estados Unidos, Pakistán y Etiopía.
«Muchas naciones, excluyendo a India, son participantes en la Iniciativa del Cinturón y Ruta de la Seda de China y, para la mayoría de ellos, las líneas costeras donde las inversiones en infraestructura china son significativas», dijo Sekoia. «Numerosos países afectados se encuentran en regiones de importancia estratégica para la seguridad de la Iniciativa del Cinturón y Ruta de la Seda«.
«Este gusano fue desarrollado para recopilar inteligencia en varios países sobre las preocupaciones estratégicas y de seguridad asociadas con la Iniciativa del Cinturón y Ruta de la Seda, principalmente en sus aspectos marítimos y económicos».
Vía The Hacker News