Los expertos de Kaspersky han descubierto una nueva campaña de ciberespionaje denominada EastWind, que ha puesto en alerta a gobiernos y empresas tecnológicas por su sofisticación. Este ataque, atribuido a los grupos de habla china APT31 y APT27, utiliza herramientas avanzadas como el backdoor CloudSorcerer y plataformas legítimas como Dropbox para el control remoto de sistemas infectados.
Según la ‘Campaña EastWind: nuevos ataques de CloudSorcerer contra organizaciones gubernamentales en Rusia’ de Kaspersky, los expertos de la compañía han identificado una nueva campaña de ciberespionaje denominada EastWind, dirigida a organismos gubernamentales e infraestructuras tecnológicas críticas, principalmente en Rusia, y operada por grupos de amenazas persistentes avanzadas (APT) chinos. Esta investigación, que empezó a principios de agosto de 2024, confirma la implicación de los grupos APT31 y APT27, conocidos por su sofisticación técnica y capacidad de operar con sigilo, lo que les permite infiltrarse en sistemas sensibles sin ser detectados durante largos periodos de tiempo.
En este sentido, la campaña se caracteriza por el uso de un backdoor actualizado denominado CloudSorcerer, que emplea métodos avanzados de ocultación y técnicas de sigilo. Este backdoor utiliza plataformas populares como Dropbox y LiveJournal para ejecutar comandos y mantener el control de los dispositivos infectados, lo que dificulta considerablemente su detección debido al uso de servicios legítimos. Una táctica destacada es el uso de enlaces maliciosos disfrazados como accesos directos en correos electrónicos de phishing, los cuales, al ser activados, descargan archivos maliciosos en el sistema objetivo.
Además, los atacantes han desplegado otras herramientas avanzadas como GrewApacha, un troyano de acceso remoto (RAT) asociado a APT31, y el implante PlugY, que ofrece capacidades de espionaje sofisticadas, incluyendo la captura de teclas y la monitorización del portapapeles, una táctica compartida por APT27 en campañas anteriores.
Grupos APT involucrados
APT31 y APT27 son conocidos por sus operaciones complejas y por colaborar en la creación de malware avanzado. La conexión entre ambos grupos se ha evidenciado por el intercambio de herramientas como CloudSorcerer y PlugY, lo que sugiere una sinergia en sus tácticas y técnicas. Ambos grupos han sido vinculados anteriormente a ataques dirigidos contra gobiernos e infraestructuras críticas, utilizando técnicas que evitan ser detectadas por las soluciones de seguridad convencionales.
Por su parte, APT31 ha sido identificado en el pasado como un actor vinculado al robo de propiedad intelectual y espionaje, mientras que APT27 se ha centrado principalmente en el sector gubernamental y de defensa. Esta colaboración entre los dos grupos en la campaña EastWind destaca la creciente sofisticación de los ciberataques patrocinados por estados.
Aunque la campaña EastWind ha tenido como objetivo principal entidades en Rusia, Kaspersky advierte sobre la relevancia de esta amenaza para otras regiones. Los organismos gubernamentales y las empresas de tecnología deben estar en alerta, ya que las tácticas observadas en esta campaña son aplicables a cualquier entorno con altos niveles de confidencialidad, como el sector de defensa, la investigación tecnológica y la infraestructura crítica.
Para más información sobre la campaña EastWind y las herramientas de detección, consulta el informe completo en Securelist.
