Organizaciones en Taiwán y una organización no gubernamental (ONG) estadounidense con sede en China han sido atacadas por un grupo de piratería patrocinado por el estado y afiliado a Beijing llamado Daguet utilizando un conjunto mejorado de herramientas antimalware.
La campaña es una señal de que el grupo también está «participando en espionaje interno», dijo el equipo Threat Hunter de Symantec, parte de Broadcom. dicho En un nuevo informe publicado hoy, los atacantes explotaron una vulnerabilidad en un servidor HTTP Apache para distribuir su malware MgBot.
Daggerfly, también conocido como Bronze Highland y Evasive Panda, fue observado anteriormente utilizando el marco modular de malware MgBot como parte de una misión de recopilación de inteligencia dirigida a proveedores de servicios de telecomunicaciones en África. Se sabe que ha estado operativo desde 2012.
«Daggerfly parece ser capaz de responder a la exposición actualizando rápidamente su conjunto de herramientas para continuar sus actividades de espionaje con una interrupción mínima», señaló la empresa.
La última serie de ataques presenta el uso de una nueva familia de malware basada en MgBot, así como una versión mejorada de un conocido malware de Apple macOS llamado MACMA, que fue expuesto por primera vez por el Grupo de Análisis de Amenazas (TAG) de Google en noviembre de 2021 como distribuido a través de ataques de abrevadero dirigidos a usuarios de Internet en Hong Kong mediante la explotación de vulnerabilidades de seguridad en el navegador Safari.
Este desarrollo marca la primera vez que la cepa de malware, capaz de recopilar información confidencial y ejecutar comandos arbitrarios, se vincula explícitamente a un grupo de piratas informáticos en particular.
«Los actores detrás de macOS.MACMA al menos estaban reutilizando código de desarrolladores de ELF/Android y es posible que también hayan podido atacar teléfonos Android con malware», dijo SentinelOne. nota en un análisis posterior en ese momento.
Las conexiones de MACMA con Daggerly también provienen de superposiciones de código fuente entre el malware y Mgbot, y el hecho de que se conecta a un servidor de comando y control (C2) (103.243.212).[.]98) que también fue utilizado por un gotero MgBot.
Otro nuevo malware en su arsenal es Nightdoor (también conocido como NetMM y Suzafk), un implante que utiliza la API de Google Drive para C2 y se ha utilizado en ataques de abrevadero dirigidos a usuarios tibetanos desde al menos septiembre de 2023. Los detalles de la actividad fueron documentados por primera vez por ESET a principios de marzo.
«El grupo puede crear versiones de sus herramientas dirigidas a la mayoría de las principales plataformas de sistemas operativos», dijo Symantec, y agregó que ha «visto evidencia de la capacidad de troyanizar APK de Android, herramientas de interceptación de SMS, herramientas de interceptación de consultas DNS e incluso familias de malware dirigidas a el sistema operativo Solaris. »
El desarrollo se produce cuando el Centro Nacional de Respuesta a Emergencias Virales Informáticas de China (CVERC) afirmó que Volt Typhoon, que fue atribuido por los países de los Cinco Ojos a un grupo de espías vinculado a China, fue una invención de las agencias de servicios de inteligencia estadounidenses, describiéndolo como una desinformación. campaña.
“Si bien sus objetivos principales son el Congreso de los Estados Unidos y el pueblo estadounidense, también intenta[s] difamar a China y sembrar discordia [sic] entre China y otros países, obstaculizar el desarrollo de China y robar a las empresas chinas», dijo CVERC. afirmó en un informe reciente.
