Así son los últimos ataques del grupo APT TA346

  • Actualidad

El grupo APT chino TA416, también conocido como Mustang Panda o RedDelta, ha vuelto a la actividad de phishing con un nuevo cargador Golang para el malware PlugX, según ha confirmado el equipo de investigación de Proofpoint.

Recomendados: 

Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

Según informa la compañía de ciberseguridad, sus investigadores han confirmado que, desde septiembre, este grupo de hackers han vuelto a la actividad de phishing, dando así continuidad a anteriores campañas con las que se dirigía a entidades encargadas de las relaciones diplomáticas entre el Vaticano y el Partido Comunista Chino, así como a instituciones con sede en Myanmar o incluso del continente africano.

El grupo ha utilizado como señuelo de sus nuevos ataques la reciente renovación por parte de la Santa Sede y China del acuerdo para el nombramiento de obispos, además de correos electrónicos fraudulentos en los que se suplantaba a periodistas de la agencia de prensa independiente de Asia especializada en noticias católicas (UCAN).

Sus expertos han identificado una serie de actualizaciones en los instrumentos empleados por este actor de amenazas para entregar cargas del malware PlugX. En concreto, los investigadores han encontrado una nueva variante Golang como cargador del PlugX, además de un uso constante por parte del TA416 de dicho malware en sus campañas dirigidas.

Una práctica habitual de este grupo de amenazas persistentes es cambiar sus herramientas con el objetivo de frustrar cualquier intento de análisis o detección por parte de los profesionales de seguridad. Al respecto, la firma dice que estos cambios no aumentan mucho la dificultad de atribuir campañas maliciosas al TA416, pero “sí que hacen más complicado a los investigadores detectar y ejecutar automáticamente componentes del malware independientes dentro de la cadena de infección”.