Se observó un jugador de amenaza con sede en China, seguido como una libélula emperadora y generalmente asociada con los esfuerzos cibercriminales, utilizando en un ataque de ransomware un conjunto de herramientas previamente asignadas a los actores de espionaje.
Los piratas informáticos desplegaron el ransomware global de la RA contra un software y servicios asiáticos y solicitaron un pago inicial de rescate de $ 2 millones.
Investigadores del equipo de Hunter de Symantec observaron la actividad a fines de 2024 y destacaron una posible superposición entre los actores cibernéticos respaldados por los grupos estatales y del delito cibernético motivados por los estados.
“Durante el ataque a fines de 2024, el atacante desplegó un conjunto de herramientas distintas que ya habían sido utilizadas por un actor vinculado a China en los ataques de espía convencionales”, dijeron los investigadores decirAgregar que “las herramientas asociadas con los grupos de espionaje basados en China a menudo son recursos compartidos”, pero “muchos no son accesibles para el público y generalmente no están asociadas con la actividad del delito cibernético”.
Un informe en Julio de 2024 De la Unidad 42 de Palo Alto Networks 42 también asoció la libélula Emperor (también conocida como Bronce Starlight) con RA World, aunque con poca confianza. Según los investigadores, el mundo de la AR causó al Grupo RA, que se lanzó en 2023 como una familia con sede en Babuk.
De espiar a ransomware
Entre julio de 2024 y enero de 2025, el actor de espionaje con sede en China atacó a los ministerios del gobierno y a los operadores de telecomunicaciones en el sudeste de Europa y Asia, el objetivo aparente es de persistencia a largo plazo.
En estos ataques, se implementó una variante específica de la puerta robada de plugx (KorPlug) con un ejecutable de Toshiba (toshdpdb.exe) a través de una carga de llave DLL, con un DLL malicioso (toshdpapi.dll).
Además, Symantec observó el uso del proxy NPS, una herramienta desarrollada por China utilizada para la comunicación secreta de redes y varios cargos útiles útiles de CRC4.
En noviembre de 2024, se utilizó la misma carga útil de KorPlug contra una compañía de software del sur de Asia. Esta vez, fue seguido por un ataque global de ransomware RA.
El delantero habría explotado Palo Alto PAN-OS (CVE-2024-0012) para infiltrarse en la red, luego seguido la misma técnica de descarga clave que involucra al ejecutable de Toshiba y el archivo DLL para implementar KorPlug antes de encriptar las máquinas.
Basado en la evidencia disponible, la hipótesis es que los ciberdigentes del estado chino que realizan ataques de espionaje pueden “luz de la luna” como ransomware para obtener ganancias personales.
Symantec’s informe Enumera los indicadores de compromiso (CIO) asociados con la actividad observada para ayudar a los defensores a detectar y bloquear los ataques antes del daño.