Las empresas que operan en China, nuevo objetivo de los ciberdelincuentes
- Actualidad
El especialista en ciberseguridad y cumplimiento normativo Proofpoint advierte de que las organizaciones que operan en China están en el punto de mira de los ciberdelincuentes. Desde principios de 2023, ha detectado un aumento en la distribución por correo electrónico de malware utilizando señuelos en chino.
Según la firma, esto incluye el intento de entrega del troyano de acceso remoto (RAT) Sainbox, una variante de Gh0stRAT, y del malware ValleyRAT, recientemente identificado. Los asuntos y contenidos de estos correos electrónicos suelen estar escritos en chino y están relacionados con temas empresariales como facturas, pagos y nuevos productos. Los objetivos de estas campañas de bajo volumen son usuarios de habla china con nombres escritos con caracteres chinos, o que tienen direcciones de correo electrónico pertenecientes a empresas globales que operan en ese país. No obstante, Proofpoint también ha detectado una campaña en japonés dirigida a organizaciones japonesas, lo que sugiere una posible expansión de la actividad de estos ciberdelincuentes.
Tras evaluar las tácticas, técnicas y procedimientos utilizados en las múltiples campañas que entregan Sainbox RAT y ValleyRAT, Proofpoint concluye que, pese a ser similares, no pueden ser atribuidas a un mismo grupo de ciberdelincuentes, lo que demuestra, por tanto, un repunte en el uso de malware con temática china como nueva tendencia en el panorama de amenazas.
Estos grupos de ciberdelincuentes utilizan múltiples métodos de entrega, usando técnicas tanto sencillas como relativamente complejas. Por lo general, los emails contienen direcciones URL que enlazan a ejecutables comprimidos responsables de la instalación del malware, pero también se han observado entregas a través de archivos adjuntos de Excel y PDF que contienen enlaces a ejecutables comprimidos.
La compañía explica que el resurgimiento de una variante de Gh0stRAT, un troyano que existe desde hace más de una década, "nos hace darnos cuenta de que la antigüedad de un malware no va unida a su ineficacia ni a su fácil detección”.
Su equipo de investigación avisa de que, aunque las amenazas nuevas y sofisticadas parecen ser el mayor peligro, es esencial que las organizaciones no subestimen estos riesgos aparentemente menos significativos ya que, aunque el malware sea el mismo, los ciberdelincuentes cambian constantemente sus tácticas”.