Parece que China y Rusia no son exactamente aliados en lo que respecta al ciberespacio, como aparentemente ha descubierto este último. malware Vinculado al primero en sus agencias gubernamentales y proveedores de servicios de TI.
Los investigadores de ciberseguridad de Kaspersky afirman que desde finales de julio han descubierto “docenas” de computadoras infectadas, todas las cuales fueron comprometidas en una campaña que llaman EastWind. Las muestras de malware que obtuvieron para su análisis parecen haber sido desarrolladas por dos grupos vinculados a China, llamados APT27 y APT31.
Kaspersky dijo que la infracción inicial se produjo a través de correos electrónicos de phishing. Los estafadores enviaban correos electrónicos que contenían dos archivos adjuntos, uno legítimo y otro malicioso. El archivo adjunto malicioso se comunicaba con DropBox, GitHub, Quora, LiveJournal y Yandex.Disk, que los perpetradores utilizaron como una especie de servidor de comando y control (C2).
Múltiples cargas útiles
A través de estos servicios en la nube, los piratas informáticos instruyen al malware para que descargue cargas útiles de segunda etapa, incluido un troyano llamado GrewApacha y una puerta trasera llamada CloudSorcerer.
Esto último también se detectó en ataques contra organizaciones estadounidenses a finales de mayo de 2024. Registro Además, CloudSorcerer se utilizó para descargar un implante no detectado previamente llamado PlugY, que puede manipular archivos, ejecutar comandos de shell, registrar pulsaciones de teclas, monitorear pantallas, editar contenidos del portapapeles y más.
“El análisis del implante aún está en curso, pero podemos concluir con un alto grado de confianza que el código de puerta trasera DRBControl (también conocido como Clamping) se utilizó para desarrollarlo”, dijo Kaspersky en su informe. DRBControl parece ser desarrollado por APT27. Dado que el malware utilizado en la campaña EastWind era similar a las variantes utilizadas tanto por APT27 como por APT29, Kaspersky cree que esto “muestra claramente” cómo los actores patrocinados por el estado chino “a menudo cooperan y comparten activamente conocimientos y herramientas”.
Superficialmente, China y Rusia a menudo actúan como aliados, apoyándose mutuamente en sus aspiraciones políticas y militares. Por ejemplo, China apoya la invasión rusa de Ucrania, mientras que Rusia repite las declaraciones de China sobre “una sola China”, término utilizado para negar la soberanía y la integridad territorial de Taiwán. Sin embargo, en lo que respecta a la lucha por la información, no parece haber alianzas.