Informe: grupo de piratería patrocinado por el estado chino es muy activo

Un grupo de piratería chino que probablemente esté patrocinado por el estado y que se haya relacionado anteriormente con ataques a computadoras del gobierno estatal de EE. UU. todavía está «muy activo» y se está enfocando en una amplia gama de objetivos que pueden ser de interés estratégico para el gobierno y los servicios de seguridad de China. dijo una firma estadounidense privada de ciberseguridad en un nuevo informe el jueves.

El grupo de piratería, que el informe llama RedGolf, comparte una superposición tan cercana con grupos rastreados por otras compañías de seguridad bajo los nombres APT41 y BARIUM que se cree que son iguales o están muy estrechamente afiliados, dijo Jon Condra, director de estrategia y persistente. amenazas para Insikt Group, la división de investigación de amenazas de la empresa de ciberseguridad con sede en Massachusetts Recorded Future.

Siguiendo los informes anteriores de las actividades de APT41 y BARIUM y monitoreando los objetivos que fueron atacados, Insikt Group dijo que había identificado un grupo de dominios e infraestructura «muy probablemente utilizados en múltiples campañas por RedGolf» en los últimos dos años.

«Creemos que es probable que esta actividad se realice con fines de inteligencia en lugar de obtener ganancias financieras debido a las superposiciones con campañas de ciberespionaje informadas anteriormente», dijo Condra en una respuesta por correo electrónico a las preguntas de The Associated Press.

El Ministerio de Relaciones Exteriores de China negó las acusaciones y dijo: «Esta empresa ha producido información falsa sobre los llamados ‘ataques de piratas informáticos chinos’ más de una vez en el pasado. Sus acciones relevantes son acusaciones sin fundamento, exageradas y carecen de profesionalismo».

Las autoridades chinas han negado sistemáticamente cualquier forma de piratería informática patrocinada por el estado y, en cambio, han dicho que la propia China es un objetivo importante de los ataques cibernéticos.

APT41 estuvo implicado en una acusación del Departamento de Justicia de EE. UU. de 2020 que acusó a los piratas informáticos chinos de atacar a más de 100 empresas e instituciones en EE. UU. y en el extranjero, incluidas empresas de redes sociales y videojuegos, universidades y proveedores de telecomunicaciones.

En su análisis, Insikt Group dijo que encontró evidencia de que RedGolf «sigue siendo muy activo» en una amplia gama de países e industrias, «apuntando a la aviación, automotriz, educación, gobierno, medios, tecnología de la información y organizaciones religiosas».

Insikt Group no identificó víctimas específicas de RedGolf, pero dijo que pudo rastrear los intentos de exploración y explotación dirigidos a diferentes sectores con una versión del malware de puerta trasera KEYPLUG que también utiliza APT41.

Insikt dijo que había identificado varias otras herramientas maliciosas utilizadas por RedGolf además de KEYPLUG, «todas las cuales son comúnmente utilizadas por muchos grupos de amenazas patrocinados por el estado chino».

En 2022, la firma de ciberseguridad Mandiant informó que APT41 fue responsable de las brechas en las redes de al menos seis gobiernos estatales de EE. UU., utilizando también KEYPLUG.

En ese caso, APT41 explotó una vulnerabilidad previamente desconocida en una aplicación web comercial estándar utilizada por 18 estados para la gestión de la salud animal, según Mandiant, que ahora es propiedad de Google. No identificó los sistemas de qué estados estaban comprometidos.

Mandiant llamó a APT41 «un prolífico grupo de amenazas cibernéticas que lleva a cabo actividades de espionaje patrocinadas por el estado chino además de actividades motivadas financieramente potencialmente fuera del control estatal».

Las empresas de inteligencia cibernética usan diferentes metodologías de seguimiento y, a menudo, nombran las amenazas que identifican de manera diferente, pero Condra dijo que APT41, BARIUM y RedGolf «probablemente se refieren al mismo conjunto de actores o grupos de amenazas» debido a las similitudes en su infraestructura en línea, tácticas, técnicas y procedimientos.

“RedGolf es un grupo de actores de amenazas patrocinado por el estado chino particularmente prolífico que probablemente ha estado activo durante muchos años contra una amplia gama de industrias a nivel mundial”, dijo.

«El grupo ha demostrado la capacidad de armar rápidamente las vulnerabilidades recientemente reportadas y tiene un historial de desarrollo y uso de una amplia gama de familias de malware personalizadas».

Insikt Group concluyó que el uso de malware KEYPLUG a través de ciertos tipos de servidores de comando y control por parte de RedGolf y grupos similares es «muy probable que continúe» y recomendó que los clientes se aseguren de que se bloqueen tan pronto como se detecten.

© 2023 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.