Una campaña de ciberespionaje de meses de duración, llevada a cabo por un grupo de estado-nación chino, tuvo como objetivo varias entidades con malware de reconocimiento para poder obtener información sobre sus víctimas y cumplir con sus objetivos estratégicos.
«Los objetivos de esta reciente campaña abarcaron Australia, Malasia y Europa, así como entidades que operan en el Mar de China Meridional», dijo la empresa de seguridad empresarial Proofpoint en una publicación en colaboración con PwC.
Los objetivos abarcan organismos gubernamentales australianos locales y federales, empresas de medios de comunicación australianos y fabricantes de la industria pesada mundial que realizan el mantenimiento de flotas de turbinas eólicas en el Mar de China Meridional.
Proofpoint y PwC atribuyeron las intrusiones con una confianza moderada a un actor de la amenaza rastreado por las dos empresas bajo los nombres de TA423 y Red Ladon respectivamente, que también se conoce como APT40 y Leviathan.
APT40 es el nombre designado a un actor de amenazas basado en China y motivado por el espionaje que se sabe que está activo desde 2013 y tiene un patrón de ataque a entidades en la región de Asia-Pacífico, con un enfoque principal en el Mar del Sur de China. En julio de 2021, el gobierno de Estados Unidos y sus aliados vincularon al colectivo adversario con el Ministerio de Seguridad del Estado (MSS) de China.
Los ataques adoptaron la forma de varias oleadas de campañas de phishing entre el 12 de abril y el 15 de junio que empleaban URLs que se hacían pasar por empresas de medios de comunicación australianas para entregar el marco de reconocimiento ScanBox. Los correos electrónicos de phishing venían con líneas de asunto como «Baja por enfermedad», «Investigación de usuarios» y «Solicitud de cooperación».
A diferencia de los watering holes o los compromisos web estratégicos en los que un sitio web legítimo que se sabe que es visitado por los objetivos se infecta con código JavaScript malicioso, la actividad de APT40 aprovecha un dominio controlado por el actor que se utiliza para entregar el malware.
El actor de la amenaza a menudo se hacía pasar por un empleado de la publicación ficticia de medios de comunicación «Australian Morning News», proporcionando una URL al dominio malicioso y solicitando a los objetivos que vieran su sitio web o compartieran contenidos de investigación que el sitio web publicaría», dijeron los investigadores.
ScanBox, utilizado en ataques desde 2014, es un malware basado en JavaScript que permite a los actores de la amenaza perfilar a sus víctimas, así como entregar cargas útiles de la siguiente etapa a los objetivos de interés. También se sabe que se comparte de forma privada entre varios grupos de hackers con sede en China, al igual que HUI Loader, PlugX y ShadowPad.
