Un actor de amenazas de un estado-nación chino ha sido capturado realizando operaciones de espionaje cibernético contra dos institutos de investigación de defensa rusos utilizando correos electrónicos de phishing que falsifican al Ministerio de Salud ruso y contienen documentos maliciosos que aprovechan las sanciones occidentales contra Rusia como señuelo.
La campaña fue detectada por analistas de amenazas en Check Point Research y ha sido atribuida a un actor del estado-nación chino. CPR descubrió que la campaña se ha estado ejecutando desde el verano de 2021, mucho antes de que la crisis en Ucrania se convirtiera en una guerra, y el actor de amenazas usó herramientas nuevas y previamente indocumentadas para evadir la detección.
El jefe de investigación de CPR, Itay Cohen, dijo que la campaña tenía múltiples superposiciones con otras campañas chinas de espionaje cibernético, como las realizadas por APT10 (también conocido como Stone Panda, MenuPass y Red Apollo). y Mustang Panda (también conocido como TA416, Bronze President y Red Delta).
“Expusimos una operación de espionaje en curso contra los institutos de investigación de defensa rusos que han llevado a cabo actores de amenazas experimentados y sofisticados respaldados por China”, dijo Cohen.
“Nuestra investigación muestra que esto es parte de una operación más grande que ha estado en curso contra entidades relacionadas con Rusia durante aproximadamente un año. Descubrimos dos instituciones de investigación de defensa específicas en Rusia y una entidad en Bielorrusia”.
El actor de amenazas está utilizando algunas herramientas nuevas y previamente no documentadas para realizar sus intrusiones, incluido un cargador de múltiples capas y una puerta trasera que se ha denominado Spinner. Reflejando esta relativa sofisticación, los investigadores llamaron a la campaña Twisted Panda.
Dos de las víctimas conocidas pertenecen a una sociedad de cartera dentro del conglomerado de defensa estatal ruso Rostec, que se encuentra en la lista de instituciones sancionadas del Reino Unido y se especializa en radioelectrónica, guerra electrónica y aviónica. Una tercera víctima en el estado títere ruso de Bielorrusia no ha sido nombrada.
Las líneas de asunto del correo electrónico incluyen “Lista de
Al abrir los documentos adjuntos, el código malicioso se descarga del servidor controlado por el atacante para instalar y ejecutar de forma encubierta una puerta trasera que les permite obtener datos sobre el sistema infectado. Estos datos se pueden usar para ejecutar comandos adicionales en el sistema.
“Quizás la parte más sofisticada de la campaña es el componente de ingeniería social. El momento de los ataques y los señuelos utilizados son inteligentes. Desde un punto de vista técnico, la calidad de las herramientas y su ofuscación está por encima del promedio, incluso para los grupos APT”, dijo Cohen.
“Creo que nuestros hallazgos sirven como una prueba más de que el espionaje es un esfuerzo sistemático y de largo plazo al servicio de los objetivos estratégicos de China para lograr la superioridad tecnológica. En esta investigación, vimos cómo los atacantes patrocinados por el estado chino se están aprovechando de la guerra en curso entre Rusia y Ucrania, desatando herramientas avanzadas contra quien se considera un socio estratégico: Rusia”, agregó.