Así es SmugX, la campaña APT de origen chino dirigida a entidades públicas europeas
- Actualidad
Check Point ha descubierto una campaña selectiva llevada a cabo por un actor de amenazas chino dirigida a entidades gubernamentales centradas en políticas extranjeras y nacionales en Europa.
Durante los últimos meses, la división de inteligencia de amenazas de Check Point ha monitorizado la actividad de los grupos de ciberdelincuentes de origen chino, y ha detectado una nueva actividad maliciosa dirigida a entidades de política exterior y nacional, y embajadas de diversos países europeos.
Según su evaluación, el objetivo de estos ciberataques se centra conseguir información sensible sobre la política exterior de esos países. Para ello, se utiliza una técnica llamada “HTML Smuggling” o “Contrabando de HTML”, mediante la cual los atacantes ocultan cargas maliciosas dentro de estos documentos. Esta campaña APT ha sido apodada SmugX por la utilización de esta técnica y nuevos métodos de entrega para desplegar una nueva variante de PlugX, un implante comúnmente asociado con una amplia variedad de actores de amenazas chinos.
Aunque la carga útil en sí sigue siendo similar a la encontrada en variantes anteriores de PlugX, sus métodos de entrega dan lugar a unas bajas tasas de detección y evasiones exitosas que la han permitido pasar por debajo del radar. Concretamente, la forma en que se utiliza SmugX permite la descarga directa de un archivo JavaScript o ZIP malicioso desde el correo de las víctimas. Finalmente, estos archivos descargados resultan en la infección y expansión de PlugX.
Al sumar la actividad de esta APT a la de de otros grupos con base en China reportada anteriormente, como RedDelta y Mustang Panda, los investigadores señalan una tendencia más amplia dentro del ecosistema chino, que apunta a un cambio de objetivo hacia las entidades europeas, con especial atención a su política exterior.
A través de las investigaciones, se ha podido detectar que dos focos principales para esta campaña: Reino Unido y los países objetivo se encuentran en la zona de Europa del Este, como la República Checa, Eslovaquia y Hungría.
La mayoría de los documentos tenían contenidos relacionados con la diplomacia y, en más de un caso, con el Estado y gobierno de China o temas como sus derechos humanos. Además, los investigadores han recuperado los nombres de los expedientes archivados, que sugieren que las víctimas previstas eran diplomáticos y funcionarios públicos de estas entidades gubernamentales.
En esta investigación, se ha analizado una campaña reciente que pone de relieve el cambio de la APT china hacia la persecución de entidades gubernamentales europeas. Además, se han identificado varias cadenas de infección que emplean la técnica de contrabando de HTML que conduce al despliegue de la carga útil PlugX.
