Un actor malicioso apodado “TIDrone” por los investigadores está apuntando activamente a las cadenas de suministro industriales relacionadas con satélites y militares, en particular a los fabricantes de drones en Taiwán.
Esto es según Trend Micro, que vinculó a TIDrone con otros grupos de habla china y señaló que utiliza software de planificación de recursos empresariales (ERP) o herramientas de escritorio remoto para implementar malware propietario avanzado.
“Desde principios de 2024, hemos estado recibiendo casos de respuesta a incidentes de Taiwán”, según un análisis de la empresa. «[However]La telemetría de VirusTotal indica que los países objetivo son variados; por lo tanto, todos debemos permanecer alerta ante esta amenaza.
Las herramientas especializadas incluyen «CXCLNT», que puede descargar archivos, recopilar información de las víctimas, como listas de archivos y nombres de computadoras, y tiene capacidades sigilosas. Otra arma es «CLNTEND», una herramienta de acceso remoto (RAT) que apareció por primera vez en abril pasado y admite una amplia gama de protocolos de red para comunicación.
Una vez que TIDrone ha comprometido un objetivo, implementa técnicas para eludir el Control de cuentas de usuario (UAC), deshacerse de credenciales y utilizar herramientas de piratería para desactivar productos antivirussegún el análisis.
«Los actores maliciosos han actualizado constantemente su arsenal y optimizado la cadena de ataque», señalaron los investigadores. «En particular, se emplean técnicas anti-escaneo en sus cargadores, como verificar la dirección del punto de entrada del proceso principal y conectar interfaces de programación de aplicaciones (API) ampliamente utilizadas como GetProcAddress para modificar el flujo de ejecución. »
