El equipo de inteligencia de la compañía reveló que los atacantes hicieron uso de malware para espionaje nunca antes visto.
La compañía de soluciones de seguridad Sophos ha publicado el informe “Operación Palacio Carmesí: la caza de amenazas revela grupos chinos patrocinados por el Estado que tienen como objetivo el Sudeste Asiático” que detalla un caso de espionaje altamente sofisticado que la compañía llevó a cabo durante un periodo de casi dos años contra un objetivo gubernamental de alto rango.
Durante la investigación de Sophos X-Ops, el equipo de expertos en inteligencia de amenazas de la compañía, que comenzó en 2023, los profesionales de detección y respuesta gestionada (MDR) encontraron tres grupos distintos con actividades dirigidas a la misma organización, dos de los cuales incluían tácticas, técnicas y procedimientos (TTP) similares a los de otros atacantes chinos: BackdoorDiplomacy, APT15 y el subgrupo APT41 Earth Longzhi.
El trabajo
Los atacantes diseñaron la operación para obtener conocimiento de usuarios específicos, así como información política, económica y militar confidencial, utilizando una amplia variedad de malware y herramientas a lo largo de la actividad, que Sophos ha llamado «Crimson Palace». Esto incluye malware nunca antes visto: una herramienta de persistencia que la compañía ha nombrado PocoProxy.
Los diferentes grupos parecen haber trabajado para apoyar los intereses del Estado chino mediante la recopilación de inteligencia militar y económica sobre las estrategias del país objetivo en el Mar del Sur de China. En esta campaña en particular, creemos que los tres grupos trabajan en paralelo para atacar el mismo objetivo, bajo las directrices de una autoridad estatal. Sólo en uno de los tres, Alpha, observamos el uso de malware y TTP de otros cuatro grupos de amenazas chinos de los que se ha informado por separado. Es bien conocido que los atacantes chinos comparten infraestructura y herramientas, y esta reciente campaña es un recordatorio de cuán extensamente estos grupos comparten sus herramientas y técnicas”.
Paul Jaramillo, director de caza de amenazas e inteligencia de Sophos,
Ampliación de la información
El equipo de Sophos X-Ops tuvo conocimiento de la actividad maliciosa en la red del objetivo en diciembre de 2022, cuando descubrieron una herramienta de extracción de datos utilizada anteriormente por el grupo de amenazas chino Mustang Panda. A partir de ahí, el equipo de MDR comenzó una búsqueda más amplia de actividad maliciosa. En mayo de 2023, Sophos descubrió un ejecutable vulnerable de VMWare y, tras analizarlo, tres grupos distintos activos en la red de la víctima: Cluster Bravo, Cluster Charlie y Cluster Alpha.
Lee más sobre esta campaña de espionaje en “Operación Palacio Carmesí: La caza de amenazas revela grupos de actividad patrocinados por el Estado chino que tienen como objetivo el Sudeste Asiático” o sobre los tres grupos de actividad en “Operación Palacio Carmesí: Un análisis técnico en profundidad” en el sitio web de Sophos.