Investigadores de ciberseguridad han descubierto lo que dicen es una actividad cibernética maliciosa orquestada por dos destacados grupos de piratería de estados-nación chinos que tienen como objetivo 24 organizaciones gubernamentales camboyanas.
«Se cree que esta actividad es parte de una campaña de espionaje a largo plazo», dijeron los investigadores de la Unidad 42 de Palo Alto Networks en un informe la semana pasada.
«La actividad observada se alinea con los objetivos geopolíticos del gobierno chino, que busca aprovechar sus fuertes relaciones con Camboya para proyectar su poder y expandir sus operaciones navales en la región».
Las organizaciones objetivo incluyen defensa, supervisión electoral, derechos humanos, tesoro y finanzas nacionales, comercio, política, recursos naturales y telecomunicaciones.
La evaluación surge de la naturaleza persistente de las conexiones de red entrantes que se originan desde estas entidades a una infraestructura adversaria vinculada a China que se hace pasar por servicios de almacenamiento y respaldo en la nube durante un «período de varios meses».
Es probable que la táctica sea un intento por parte de los atacantes de pasar desapercibidos y mezclarse con el tráfico legítimo de la red.
Es más, los vínculos con China se basan en el hecho de que la actividad del actor de amenazas se ha observado principalmente durante el horario comercial habitual en China, con una caída registrada a finales de septiembre y principios de octubre de 2023, coincidiendo con los feriados nacionales de la Semana Dorada, antes de reanudarse. a niveles regulares el 9 de octubre.
Los grupos de piratas informáticos del nexo con China, como Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat y UNC4191, han lanzado una serie de campañas de espionaje dirigidas a los sectores público y privado de toda Asia en los últimos meses.
El mes pasado, Elastic Security Labs detalló un conjunto de intrusiones con nombre en código REF5961 que se encontró aprovechando puertas traseras personalizadas como EAGERBEE, RUDEBIRD, DOWNTOWN y BLOODALCHEMY en sus ataques dirigidos contra los países de la Asociación de Naciones del Sudeste Asiático (ASEAN).
Se descubrió que las familias de malware «eran co-residentes con un conjunto de intrusión previamente reportado, REF2924», el último de los cuales se considera un grupo alineado con China debido a su uso de ShadowPad y superposiciones tácticas con Winnti y ChamelGang.
Las revelaciones también siguen a un informe de Recorded Future que destaca el cambio en la actividad de ciberespionaje chino, describiéndola como más madura y coordinada, y con un fuerte enfoque en la explotación de fallas conocidas y de día cero en los servidores de correo electrónico públicos, la seguridad y la red.