El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto una nueva campaña de amenaza persistente avanzada (APT, por sus siglas en inglés) llevada a cabo por el grupo Tropic Trooper. Esta operación ha estado dirigida contra una entidad gubernamental en Medio Oriente durante más de un año, con el objetivo de realizar ciberespionaje. Para obtener acceso no autorizado y mantener la persistencia en la red objetivo, los atacantes están explotando la shell web China Chopper, según descubrieron los expertos de GReAT en un servidor web de código abierto público.
Tropic Trooper (también conocido como KeyBoy y Pirate Panda) es un grupo APT que ha estado activo desde al menos 2011. Históricamente, el grupo se ha centrado en sectores como el gubernamental, sanitario, de transporte e industrias de alta tecnología en regiones como Taiwán, Filipinas y Hong Kong. La reciente investigación de Kaspersky ha revelado que, en 2024, Tropic Trooper ha lanzado, al menos desde junio de 2023, campañas cibernéticas persistentes dirigidas a una entidad gubernamental en Medio Oriente.
En junio de 2024, la telemetría de
Kaspersky detectó una nueva variante de shell web China Chopper. Por
ello, el equipo GReAT de la compañía realizó un análisis más profundo,
revelando que esta shell estaba incrustada como un módulo dentro del CMS
Umbraco, un servidor web público ampliamente utilizado para la gestión de
contenido. Los atacantes explotaron esta plataforma para obtener una amplia
gama de capacidades maliciosas, incluyendo robo de datos, control remoto total,
despliegue de malware y evasión avanzada de detección, con el objetivo final
de realizar ciberespionaje.
“Es notable la variación en las habilidades empleadas durante las diferentes etapas del ataque, así como sus tácticas tras el fracaso. Cuando los atacantes se dieron cuenta de que sus puertas traseras habían sido localizadas, intentaron cargar versiones más nuevas para evadir la detección, aumentando así la probabilidad de que estas nuevas muestras fueran descubiertas en un futuro cercano”, explica Sherif Magdy, analista senior de Seguridad en GReAT de Kaspersky.
Además, Kaspersky identificó nuevos implantes de secuestro de orden de búsqueda de DLL, que fueron cargados desde un ejecutable legítimo pero vulnerable debido a la falta de una especificación de ruta completa a la DLL requerida. Esta cadena de ataque intentó desplegar el cargador Crowdoor, llamado así por la puerta trasera SparrowDoor detallada por ESET. Cuando las medidas de seguridad de Kaspersky bloquearon el cargador inicial de Crowdoor, los atacantes cambiaron rápidamente a una variante no reportada previamente con un impacto similar.
En este sentido, los expertos de Kaspersky atribuyen esta actividad al actor de amenazas de habla china conocido como Tropic Trooper. Sus hallazgos revelan importantes coincidencias en las técnicas reportadas en campañas recientes de este malware. Las muestras analizadas por GReAT también muestran una fuerte correlación con aquellas previamente vinculadas a Tropic Trooper.
Kaspersky observó esta intrusión dirigida en una entidad gubernamental en Medio Oriente. Simultáneamente, se detectó un subconjunto de estas muestras dirigidas a una entidad gubernamental en Malasia. Estos incidentes se alinean con los objetivos típicos y el enfoque geográfico descritos en informes recientes sobre este malware. “Tropic Trooper APT generalmente apunta a gobiernos, atención médica, transporte e industrias de alta tecnología. La presencia de las tácticas, técnicas y procedimientos (TTP) de este grupo dentro de entidades gubernamentales críticas en Medio Oriente, particularmente aquellas involucradas en estudios sobre derechos humanos, indica un cambio estratégico en sus operaciones. Esta información puede ayudar a la comunidad de inteligencia de amenazas a comprender mejor los motivos de este actor”, añade Magdy.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky recomiendan implementar las siguientes medidas:
- Proporciona a tu equipo de SOC acceso a la inteligencia de amenazas más reciente. Kaspersky Threat Intelligence es un punto único de acceso para la inteligencia de amenazas de la compañía que proporciona datos e información sobre ciberataques recopilados por Kaspersky durante más de 20 años.
- Mejora las habilidades de tu equipo de ciberseguridad para abordar las últimas amenazas dirigidas con la formación online de Kaspersky, desarrollada por expertos de GReAT.
- Para detectar endpoints, investigar y remediar incidentes, implementa soluciones EDR como Kaspersky Next.
- Además de adoptar protección esencial en los endpoints, obtén una solución de seguridad a nivel corporativo que detecte amenazas avanzadas en la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Dado que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, conciencia a tu equipo sobre seguridad y enséñales habilidades prácticas, por ejemplo, a través de la Kaspersky Automated Security Awareness Platform.
Lee el informe completo sobre la campaña de Tropic Trooper en Securelist.