SmugX, la campaña APT de origen chino dirigida a entidades gubernamentales europeas

Una campaña selectiva llevada a cabo por un actor de amenazas chino dirigida a entidades gubernamentales centradas en políticas extranjeras y nacionales en Europa.

Durante los últimos meses, Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, un proveedor líder especializado en ciberseguridad a nivel mundial, ha monitorizado la actividad de los grupos de ciberdelincuentes de origen chino, detectando una nueva actividad maliciosa dirigida a entidades de política exterior y nacional, y embajadas de diversos países europeos.

Según su evaluación, el objetivo de estos ciberataques se centra conseguir información sensible sobre la política exterior de esos países. Para ello, se utiliza una técnica llamada “HTML Smuggling” o “Contrabando de HTML”, mediante la cual los atacantes ocultan cargas maliciosas dentro de estos documentos. Apodada SmugX por la utilización de esta técnica y nuevos métodos de entrega para desplegar una nueva variante de PlugX, un implante comúnmente asociado con una amplia variedad de actores de amenazas chinos.

Aunque la carga útil en sí sigue siendo similar a la encontrada en variantes anteriores de PlugX, sus métodos de entrega dan lugar a unas bajas tasas de detección y evasiones exitosas que la han permitido pasar por debajo del radar. Concretamente, la forma en que se utiliza SmugX permite la descarga directa de un archivo JavaScript o ZIP malicioso desde el correo de las víctimas. Finalmente, estos archivos descargados resultan en la infección y expansión de PlugX.

Sumándose a la reciente actividad de otros grupos con base en China reportada anteriormente, tales como RedDelta y Mustang Panda, los investigadores señalan una tendencia más amplia dentro del ecosistema chino, que apunta a un cambio de objetivo hacia las entidades europeas, con especial atención a su política exterior.

Gracias a las investigaciones, se ha podido detectar que dos focos principales para esta campaña: Reino Unido y los países objetivo se encuentran en la zona de Europa del Este, como la República Checa, Eslovaquia y Hungría.

La mayoría de los documentos tenían contenidos relacionados con la diplomacia y, en más de un caso, con el Estado y gobierno de China o temas como sus derechos humanos. Además, los investigadores han recuperado los nombres de los expedientes archivados, que sugieren que las víctimas previstas eran diplomáticos y funcionarios públicos de estas entidades gubernamentales:

• Borrador del Plan de Acción del Proceso de Praga_SOM_EN

• 2262_3_PrepCom_Proposal_next_meeting_26_April

• Comentarios FRANCIA - Cumbre UE-CELAC - 4 de mayo

• 202305 Planificación indicativa RELEX

• China encarcela a dos abogados de derechos humanos por subversión

En esta investigación, se ha analizado una campaña reciente que pone de relieve el cambio de la APT china hacia la persecución de entidades gubernamentales europeas. Además, se han identificado varias cadenas de infección que emplean la técnica de contrabando de HTML que conduce al despliegue de la carga útil PlugX.

“La campaña SmugX, forma parte de una tendencia más amplia que estamos observando en la que los atacantes chinos están cambiando su enfoque hacia las entidades europeas, en particular las gubernamentales”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Gracias a Check Point Threat Emulation y Harmony Endpoint, hemos podido proporcionar una cobertura y análisis completo de las tácticas de ataque, tipos de archivos y sistemas operativos afectados descritos en este informe”, concluye.

SmugX, la campaña APT de origen chino dirigida a entidades gubernamentales europeas

Los actores de amenazas intentan convertir las Blockchains en hosts de contenido malicioso

El 42,5 por ciento de los intentos de fraude se realizan mediante inteligencia artificial

España, objetivo prioritario de una variante del ransomware Medusa