Un trío de grupos de amenazas que trabajan al servicio de la República Popular China (RPC) han comprometido al menos una docena de nuevos objetivos, incluida una organización gubernamental del Sudeste Asiático.
Operación Palacio Carmesí ha existido desde marzo de 2023, pero ha estado particularmente activo en 2024, cuando los actores de amenazas luchan contra los analistas de ciberseguridad para mantenerse con vida. De hecho, a pesar de ser desenmascaradas y perseguidas activamente, las tres ramas de Crimson Palace lograron continuar pirateando organizaciones públicas y privadas en Asia y robar datos y documentos estratégicos potencialmente confidenciales de lo que Sophos describió en un nuevo informe como “una agencia importante dentro del gobierno de una nación del Sudeste Asiático”.
Los 11 océanos del mundo de las ciberamenazas
En cada película de atracos hay un equipo, cada miembro del cual tiene una especialidad única. Tienes al conductor que te lleva a la fuga, el hacker o ladrón de cajas fuertes, el experto en armas, el tipo fuerte, la zorra de lengua plateada.
Operation Crimson Palace utiliza este enfoque de equipo para los ciberataques. En lugar de operar como una amenaza persistente avanzada (APT) monolítica, tres equipos independientes (seguidos por Sophos como Alpha, Bravo y Charlie) tienen cada uno un papel único, aunque parcialmente superpuesto, en la cadena de ataque más amplia. Esta configuración permite que cada clúster se centre en tareas específicas y permite que diferentes clústeres trabajen en diferentes compromisos simultáneamente.
Cluster Alpha generalmente maneja el acceso inicial: realiza reconocimiento y mapeo de la red, se mueve lateralmente y establece persistencia en un sistema específico, implementa puertas traseras, interrumpe el software de seguridad, etc.
Básicamente, Cluster Bravo es el especialista en infraestructura. Se arraiga y se propaga a través de las redes objetivo, allanando el camino para la implementación de malware y estableciendo canales de comunicación de comando y control (C2), a menudo utilizando a una víctima de Crimson Palace como punto de partida para un ataque. De enero a junio, Sophos identificó una serie de organizaciones, incluida una agencia gubernamental, cuya infraestructura Bravo tomó prestada para fines de preparación de malware.
«Esto oscurece el control y el comando en lugares donde ya se podría esperar ver tráfico», dice Chester Wisniewski, CTO global de Sophos. “Si ve tráfico HTTPS directamente con uno de sus principales proveedores de telecomunicaciones, o quizás con otra agencia gubernamental o entidad comercial del país que comúnmente interactúa con personas en su entorno, será mucho más difícil determinar si se trata de tráfico HTTPS. [coming from a malicious] C2, o si se trata simplemente de operaciones comerciales normales.
Aunque Bravo no siempre ha tenido una gran presencia en los ataques de Crimson Palace, ha destacado en casos más recientes. Sophos identificó recientemente actividad de Bravo en al menos 11 organizaciones y agencias asiáticas, incluidos contratistas gubernamentales.
«Es muy posible que el Clúster Alfa [and Bravo] «Ni siquiera saben lo que están buscando, aparte de que es el entorno objetivo al que deben mantener la puerta abierta, para permitir que entre alguien más que sea consciente de cuál es el objetivo», señala Wisniewski.
Esta persona es el Clúster Charlie.
Cluster Charlie: una amenaza imparable
Cluster Charlie es el administrador de limpieza, responsable de todo lo necesario para mantener el acceso al sistema y filtrar datos confidenciales. En consonancia con su función, parece ser el más activo y sofisticado de los tres grupos.
Su historia tomó forma después de su primer enfrentamiento con los investigadores en agosto de 2023. Después de que Sophos bloqueara su herramienta C2 personalizada, PocoProxy, el clúster Charlie permaneció en silencio durante algunas semanas. Luego, a partir de septiembre y desde entonces, se ha recuperado constantemente con una nueva táctica, técnica o procedimiento (TTP) para cada elemento bloqueado por sus oponentes.
En respuesta al bloqueo de su malware personalizado, Charlie recurrió a la comunidad de código abierto, utilizando al menos 11 herramientas para C2 (por ejemplo, Cobalt Strike), carga de shellcode (por ejemplo, Donut), Escape del software EDR (por ejemplo, RealBindingEDR) y mucho más. «Cuando obtuvieron acceso C2 personalizado al entorno y lo bloqueamos con éxito, recurrieron a herramientas de código abierto», recuerda Wisniewski. «Y luego, cuando eso no funcionó, regresaron con nuevas herramientas personalizadas». »
La creatividad de Charlie fue más notable en sus métodos de distribución de malware. Entre noviembre y mayo pasados, Charlie implementó implantes C2 utilizando no menos de 28 combinaciones únicas de cadenas de carga lateral, métodos de ejecución y cargadores de shellcode. En varias ocasiones a lo largo de febrero, el grupo incluso realizó una especie de prueba A/B, implementando sus archivos maliciosos utilizando medios ligeramente diferentes para probar qué método funcionaría mejor.
Como advierte Wisniewski: “Si tienes algo que ellos quieren, incluso si puedes entender su enfoque actual sobre cómo atacan la red, no se detendrán. Continuarán innovando e iterando. »
