Los investigadores de ciberseguridad de Kaspersky publicaron el 8 de agosto un informe sobre una campaña de ciberespionaje orquestada desde China en enero. Según ellos, su objetivo eran las industrias militares, los organismos gubernamentales y las instituciones públicas de Europa del Este y Afganistán.
China bajo sospecha
El grupo TA428, supuestamente cercano a Pekín, es el principal sospechoso de este acto de ciberespionaje. Kaspersky, sin dejar de ser cauto, cree que hay muchos indicios que apuntan en esta dirección, » Podemos ver un solapamiento significativo en las tácticas, técnicas y procedimientos (TTP) con la actividad del TA428 «, señalan los investigadores. La información recopilada acabó en servidores de China, se identificaron herramientas de hacking populares entre los ciberdelincuentes chinos y los horarios de los ataques coincidían con las horas de oficina en el Reino Medio.
Lo más importante es que, de los seis programas maliciosos utilizados, se sabe que cinco están relacionados con el TA428 y uno es desconocido. Uno de ellos, PortDoor, fue desarrollado por un grupo chino patrocinado por el Estado. Kaspersky ha identificado una versión mejorada. Una versión más antigua se utilizó para el ciberespionaje de una empresa rusa de defensa que diseñaba submarinos nucleares en 2021.
Se sabe que el TA428 está dirigido a organizaciones militares y de investigación en Asia y Europa del Este. Kaspersky cree que es probable que la campaña identificada sea una continuación de una anterior detectada.
En total, se han identificado una docena de víctimas en Bielorrusia, Rusia, Ucrania y Afganistán. Para los autores del informe, esto está lejos de ser un golpe de mala suerte, » los resultados de la investigación indican que se trató de un ataque dirigido y, se podría decir, preciso «.
En rojo, los estados objeto de la operación. Impresión de pantalla: Kaspersky
Para llegar a sus víctimas, industrias militares u otras agencias gubernamentales, los ciberdelincuentes utilizaron la clásica táctica de phishing, un correo electrónico con un archivo adjunto malicioso, aquí un documento de Word. Este phishing era particularmente avanzado.
El ciberespionaje TA428 puede continuar
Algunos de los mensajes enviados contenían información interna muy específica, incluso datos que se suponían confidenciales». Esto podría indicar que los atacantes hicieron algún trabajo preparatorio por adelantado (pueden haber obtenido esta información en ataques anteriores contra la misma organización o sus empleados, o contra otras organizaciones o personas asociadas a la organización víctima) «, dice Kaspersky.
El deseo de realizar ciberespionaje no está en duda. Pekín, fuertemente sospechado, ya se había enfrentado a una acusación similar en mayo de 2022. La proximidad entre Rusia y China no es un obstáculo para estas operaciones: el espionaje también existe entre aliados, como demostró el caso Snowden en 2013.
Se sabe que China es muy agresiva en este ámbito. Kaspersky concluyó su informe con una advertencia: » La serie de ataques que hemos descubierto no es la primera de la campaña y, dado que los atacantes están consiguiendo cierto grado de éxito, creemos que es muy probable que sigan realizando ataques similares en el futuro «.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
