Operation Oceansalt, la nueva campaña de ciberespionaje que involucra a Corea del Sur, USA y Canadá

McAfee publica un informe en el que anuncia el descubrimiento de una nueva campaña de ciberespionaje dirigida contra organizaciones de Corea del Sur, Estados Unidos y Canadá y que, bautizada como Operation Oceansalt, es similar a otra anterior conocida como Seasalt.

La nueva campaña utiliza un implante de reconocimiento de datos utilizado por última vez en 2010 por APT1, o Comment Crew, un grupo de ciberdelincuentes chinos afiliados a los militares y acusado de lanzar ciberataques en más de 141 empresas estadounidenses desde 2006 hasta 2010.

El informe de McAfee sugiere que el desarrollo del implante Oceansalt no habría sido posible a menos que se tuviera acceso directo al código fuente que originó la campaña Seasalt de Comment Crew . Sin embargo, el equipo de Investigación de amenazas avanzadas de McAfee no encontró pruebas de que el código fuente de Comment Crew se hiciera público, lo que plantea la cuestión de quién es el responsable final de Oceansalt.

Según la firma de seguridad, Ocensalt fue lanzado en cinco oleadas de ataques dirigidos. La primer y segunda oleadas fue una campaña de phishing que se inició con un documento malintencionado de Microsoft Excel en coreano creado y guardado en mayo de 2018, actuando como descargadores del implante.

Firmado por un usuario llamado ‘Lion’, el Excel incluía información que lleva a McAfee a creer que los objetivos estaban relacionados con proyectos de infraestructura pública de Corea del Sur.

En una tercera ronda los documentos maliciosos eran de Microsoft Word, con los mismos metadatos y mismo autor que los documentos de Excel. Este documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano.

Las oleadas cuatro y cinco identificaron un pequeño número de objetivos fuera de Corea del Sur, incluidos EE. UU. y Canadá, a medida que los atacantes expandían su alcance.

En cuanto a las implicaciones y el impacto, asegura MacAfee que estos ataques pueden ser precursores de un ataque mucho mayor dado que Oceansalt da a los atacantes el control total de cualquier sistema que logren comprometer y la red a la que está conectado. Dada la colaboración potencial con otros actores de amenazas, hay muchos más activos abiertos y disponibles para actuar.

"Esta investigación representa cómo los actores de la amenaza aprenden continuamente unos de otros y se basan en las mayores innovaciones de sus compañeros", dijo

Para Raj Samani, científico jefe de McAfee, “esta investigación representa cómo los actores de la amenaza aprenden continuamente unos de otros y se basan en las mayores innovaciones de sus compañeros”.