El actor chino conocido como Salt Typhoon ha estado espiando a algunas organizaciones gubernamentales y de telecomunicaciones de alto valor durante varios años y recientemente lanzó un nuevo malware de puerta trasera, denominado GhostSpider.
Tifón de sal (también conocido como Terre EstriesFamousSparrow, GhostEmperor y UNC2286) se encuentran entre las amenazas persistentes avanzadas (APT) más importantes de la República Popular. En una campaña que se remonta a 2023comprometió a más de 20 organizaciones. Estas organizaciones son generalmente del más alto nivel, están presentes en todos los rincones del mundo y, en algunos casos, sus violaciones no han sido detectadas durante años. Más recientemente es conocido por apuntar Empresas de telecomunicaciones estadounidenses, incluida T-Mobile USAY ISP en América del Norte.
El arsenal de malware de Salt Typhoon
Con acceso a una red específica, la APT que Trend Micro llama Earth Estries puede implementar cualquiera de sus variadas y poderosas cargas útiles, que desarrolla constantemente, según un nuevo análisis de la compañía.
Está Masol RAT, una herramienta multiplataforma utilizada contra servidores Linux gubernamentales del sudeste asiático, y el módulo SnappyBee (también conocido como Deed RAT). Mientras tanto, el recientemente descubierto GhostSpider es una puerta trasera altamente modular, adaptable a cualquier escenario de ataque particular, según Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro.
“Entonces puedo implementar un módulo específico para hacer una cosa específica, y solo hace esa cosa, y luego, si necesito algo más, adopto otro módulo. Y eso hace mucho más difícil identificar a los defensores e investigadores de qué se trata. ”, dice Clay, porque una instancia de GhostSpider puede ser completamente diferente de otra.
Además de sus puertas traseras, el grupo también tiene un rootkit llamado Demodex, y Trend Micro ha especulado que podría incluso haberlo utilizado. ransomware inc. en algunas de sus operaciones.
La diversidad del malware Salt Typhoon puede estar relacionada con la naturaleza misma de su funcionamiento. Según los investigadores, se trata de una organización estructurada de equipos distintos y especializados. Sus diferentes puertas traseras, por ejemplo, son gestionadas por diferentes “equipos de infraestructura”. Las tácticas, técnicas y procedimientos (TTP) utilizados en diferentes ataques pueden variar ampliamente, con equipos individuales centrándose en diferentes regiones geográficas y sectores, otra razón por la que ha sido tan difícil precisar el APT de China a lo largo de los años. “Son muy sofisticados [at] obtener acceso, mantener el acceso, mantener la persistencia y cubrir sus huellas cuando hayan hecho algo para que parezca que nunca estuvieron allí”, dice Clay.
¿Cómo acceden Estries?
La Tierra de Estries había sido Llevar a cabo ataques de espionaje a largo plazo contra gobiernos. y otros objetivos desde 2020. Sin embargo, a mediados de 2022, se activó un interruptor.
“En el pasado, hacían mucho phishing a sus empleados”, recuerda Clay. “Ahora están apuntando a dispositivos conectados a Internet utilizando vulnerabilidades de n días, encontrando todos los puertos abiertos [or] protocolos o aplicaciones en ejecución que pueden aprovechar para acceder a ellos.
“N-day” se refiere a errores revelados recientemente que es posible que las organizaciones aún no hayan tenido la oportunidad de corregir. Las vulnerabilidades favoritas del grupo son peligrosas (pero ahora están bien documentadas) e incluyen:
-
El error de inyección SQL CVE-2024-48788que afecta al Fortinet Enterprise Management Server (EMS)
-
CVE-2022-3236, un problema de inyección de código en Sophos Firewalls
-
Las cuatro vulnerabilidades de Microsoft Exchange involucradas en Conexión proxy
“Y lo vemos en todos los ámbitos”, señala Clay. “Ciertamente, el correo electrónico sigue siendo una forma importante de acceder a las organizaciones, pero anteriormente representaba más del 80% de los usuarios. [of cases]. Creo que hoy en día es un porcentaje mucho menor de estos ataques que comienzan con una campaña de phishing. »
Visita china a víctimas de ciberataques gubernamentales
Salt Typhoon a menudo no explota las vulnerabilidades directamente en la red de su objetivo. En cambio, opta por un enfoque más delicado.
Desde 2023, sus víctimas se han extendido por no menos de cuatro continentes (en países tan diversos como Afganistán, India, Eswatini y Estados Unidos), siendo la mayor concentración en el sudeste asiático. Estas organizaciones provienen de los sectores de telecomunicaciones, tecnología, consultoría, química, transporte y sin fines de lucro, con especial enfoque en agencias gubernamentales.
Sin embargo, no todas estas organizaciones son necesariamente el destino final de los piratas informáticos. Una organización no gubernamental (ONG), por ejemplo, puede albergar datos valiosos que vale la pena robar, o simplemente proporcionar un trampolín secreto para atacar a una agencia gubernamental más grande. En 2023, por ejemplo, los investigadores observaron que Salt Typhoon comprometió a empresas consultoras y ONG que trabajan con el gobierno y el ejército de EE. UU., con el objetivo de piratearlas de manera más rápida y efectiva.