Investigadores de seguridad han descubierto una operación de ciberespionaje a largo plazo patrocinada por el estado chino denominada “Crimson Palace”.
La operación fue descubierta durante una investigación realizada por el equipo de Sophos Managed Detección y Respuesta (MDR), provocada por la detección de una técnica de descarga de DLL que explotaba un componente de VMware, VMNat.exe.
La investigación, que se extendió desde marzo de 2023 hasta diciembre de 2023, reveló tres grupos distintos de actividad de intrusión, denominados Clúster Alfa, Clúster Bravo y Clúster Charlie. Se observó que estos grupos emplean sofisticadas técnicas de evasión e implementan varios implantes de malware, incluidas nuevas variantes como CCoreDoor, PocoProxy y una versión actualizada del malware EAGERBEE.
El análisis de Sophos indica que el objetivo principal de la campaña era mantener un acceso prolongado a la red objetivo con fines de espionaje, incluida la recopilación de información militar y técnica confidencial y el despliegue de malware para comunicaciones de comando y control (C2).
La investigación también sugiere una alta probabilidad de coordinación entre los grupos, lo que indica un esfuerzo concertado orquestado por una sola entidad.
La visibilidad limitada de la organización objetivo, debido al despliegue parcial de la protección de terminales de Sophos, permitió a los actores de amenazas operar sigilosamente dentro de la red, y la evidencia sugiere que el acceso a activos no administrados se remonta a principios de 2022.
Según el aviso, la infraestructura y las técnicas de la campaña se superponen con las de otros actores de amenazas patrocinados por el Estado chino, lo que indica un ecosistema más amplio de ciberespionaje.
La compañía también confirmó que ha compartido indicadores y conocimientos de la campaña Crimson Palace para ayudar a realizar más investigaciones y ayudar a los defensores a interrumpir las actividades relacionadas.