El equipo de investigación de ciberseguridad de Proofpoint ha publicado un nuevo informe sobre amenazas en el que identifica a un grupo de hackers alineados con China que ha intensificado su actividad contra entidades en Europa durante la escalada bélica en Ucrania, poniendo en marcha campañas de emails maliciosos para distribuir malware.
- El grupo de hackers, TA416 (también llamado RedDelta), es conocido por estar alineado con el estado chino y ha estado dirigiendo sus ataques a Europa durante años. Proofpoint lleva siguiendo a este grupo desde 2020, y se ha producido un notable aumento en el número de ataques desde que las tropas rusas comenzaron a agruparse en la frontera con Ucrania.
- Más recientemente, TA416 comenzó a utilizar la dirección de correo comprometida de un diplomático de un país europeo de la OTAN para enviar mensajes a oficinas diplomáticas de distintos países. Los individuos a los que se dirigía trabajaban en servicios para los refugiados y los migrantes.
- Las campañas de TA416 han utilizado web bugs para hacer un perfil de sus víctimas antes de enviarles malware. Esto indica al atacante que la cuenta a la que apunta es válida, y que la víctima es propensa a abrir emails que tienen contenido de ingeniería social. Esto sugiere que TA416 es más exigente con sus objetivos y podría ser un intento de evitar que se descubran y se den a conocer públicamente sus herramientas maliciosas.
- Las campañas incluyen enlaces maliciosos y documentos relacionados con los movimientos fronterizos de los refugiados ucranianos, con el objetivo de hacer llegar a las víctimas un malware llamado PlugX. PlugX es un RAT (troyano de acceso remoto) que, una vez instalado, puede utilizarse para controlar totalmente el equipo de la víctima.
“El uso de la técnica de reconocimiento con web bugs sugiere que TA416 está siendo más exigente en cuanto a los objetivos que elige para entregar las cargas útiles de malware”, comentan los investigadores de Proofpoint. “Históricamente, el grupo enviaba las URLs de bugs web junto con las URLs de malware para confirmar su recepción. En 2022, el grupo comenzó a trazar primero el perfil de los usuarios para enviar luego las URLs de malware. Esto puede ser un intento de TA416 de evitar que sus herramientas maliciosas sean descubiertas y divulgadas. Al reducir el objetivo de las amplias campañas de phishing para centrarse en objetivos que han demostrado ser activos y estar dispuestos a abrir los correos electrónicos, TA416 aumenta sus posibilidades de éxito a la hora de hacer un seguimiento de las cargas útiles de malware”.