CPR descubre una campaña de espionaje cibernético dirigida a los gobiernos del SEA

Check Point Research (CPR) ha revelado que una campaña de espionaje cibernético en curso se está expandiendo para apuntar a más gobiernos del sudeste asiático, incluidos Vietnam, Tailandia e Indonesia.

Atribuida al grupo APT chino SharpPanda, la campaña utiliza un marco de malware llamado «Soul» para robar información y espiar las actividades del gobierno.

El CPR ha publicado un nuevo informe que detalla la cadena de infección de la familia de malware Soul.

A fines de 2022, una campaña con un vector de infección inicial similar a las operaciones anteriores de Sharp Panda se dirigió a una entidad gubernamental prominente en la región. La carga útil en este ataque específico es una nueva versión de SoulSearcher Loader, que finalmente carga Soul Modular Framework.

Aunque el marco de malware Soul se ha observado previamente en una campaña de espionaje dirigida a los sectores de defensa, salud y TIC en el sudeste asiático, nunca antes se había atribuido o vinculado a un grupo conocido de actividad maliciosa, dice el CPR.

Según CPR, esta es una extensión de una campaña de espionaje cibernético en curso dirigida a más gobiernos del sudeste asiático, incluidos Vietnam, Tailandia e Indonesia.

En junio de 2021, CPR identificó que SharpPanda estaba utilizando vulnerabilidades de phishing y de Microsoft para obtener acceso a las redes de destino. El CPR continuó monitoreando la actividad de SharpPanda, y se enteró de un ataque cibernético contra una entidad gubernamental prominente a fines de 2022. Si bien el marco Soul ha estado en uso desde al menos 2017, los actores de amenazas detrás de él han actualizado y refinado constantemente su arquitectura y capacidades.

El ataque comienza como un ataque de phishing con un documento malicioso que contiene una plantilla remota con un exploit. El exploit ejecuta un descargador integrado, que ayuda a ejecutar la puerta trasera de Soul. Aunque Semantic ha visto previamente el marco de malware Soul en una campaña de espionaje dirigida a los sectores de defensa, salud y TIC en el sudeste asiático, nunca antes se lo había atribuido o vinculado a un grupo conocido de actividad maliciosa.

El CPR establece que no está claro si el marco Soul solo es utilizado por un solo actor de amenazas. La conexión entre las herramientas de Sharp Panda y los ataques mencionados anteriormente en el sudeste asiático es otro ejemplo de las características clave inherentes a las operaciones APT con sede en China, como el intercambio de herramientas personalizadas entre grupos o la especialización de las tareas de los actores de amenazas, donde una entidad es responsable de la infección inicial y otro es responsable de la recopilación de inteligencia.

En definitiva, la CPR atribuye la campaña de ciberespionaje a un grupo APT de origen chino, cuyo móvil es robar datos y espiar a entidades gubernamentales.

Eli Smadja, gerente del grupo de investigación de Check Point Software, dijo: “Según los hallazgos técnicos presentados en esta investigación, creemos que esta campaña está siendo organizada por actores de amenazas avanzados respaldados por China, que incluyen otras herramientas, capacidades y posición dentro de la más amplia. red de Si bien las campañas anteriores de Sharp Panda entregaron una puerta trasera única y personalizada llamada VictoryDll, la carga útil para este ataque específico es una nueva versión del cargador SoulSearcher, que termina cargando el marco modular Soul.

«Por lo general, el ataque comienza como un ataque de phishing con un documento malicioso que contiene un modelo remoto con un exploit Royalroad. El exploit ejecuta un descargador integrado y luego descarga la segunda etapa del marco Soul, que ejecuta la puerta trasera Soul. Bueno, eso es una muestra de esto framework de 2017 a 2021 se han analizado anteriormente, esta es la cadena de infección más extensa de la familia de malware Soul que se ha documentado, incluido el análisis técnico completo de la última versión, compilada a fines de 2022”.