Identificada APT con objetivos militares y gubernamentales

Bitdefender acaba de publicar una investigación sobre una nueva APT denominada Unfading Sea Haze, que se dirige al gobierno, al ejército y a otras organizaciones de alto nivel en la región del Mar de China Meridional. Los objetivos y la naturaleza de los ataques sugieren que el grupo está alineado con los intereses chinos.

Bitdefender insta a todas las organizaciones que realizan negocios en la zona a que estén en alerta y apliquen los IOC encontrados en esta investigación para reducir el riesgo.

Unfading Sea Haze ha estado activo al menos desde 2018, y su objetivo principal es el espionaje, para lo cual utiliza malware personalizado y técnicas sofisticadas (como carga lateral de DLL, ataque sin archivos y marco RAT Gh0st modificado) para evadir la detección, residir silenciosamente en los sistemas y moverse lateralmente a través de las redes.

En la investigación se hace referencia a una serie de ciberataques dirigidos a organizaciones de alto nivel en países del Mar de China Meridional, revelando la presencia de un actor de amenazas previamente desconocido. “Hemos designado a este grupo ‘Unfading Sea Haze’ en función de su persistencia y enfoque en la región. Los objetivos y la naturaleza de los ataques sugieren una alineación con los intereses chinos”, señala el informe.

Arqueología digital para descubrir los orígenes de la amenaza

No se trataba sólo de destapar las actividades actuales de Unfading Sea Haze, sino que consistió en un viaje en el tiempo, una especie de arqueología digital que abarcó al menos ocho víctimas, principalmente objetivos militares y gubernamentales, con acciones que se remontan a 2018. Bitdefender documentó las tácticas, técnicas y procedimientos (TTP) actuales de Unfading Sea Haze, pero también las herramientas que desarrollaron en el pasado.

Tras analizar varias generaciones de las herramientas de ataque empleadas fue como explorar la exposición de un museo de reliquias de ciberespionaje. Los investigadores hallaron múltiples iteraciones basadas en el conocido marco Gh0st RAT, junto con varias cargas útiles .NET.

Pero la investigación reveló una tendencia preocupante más allá del contexto histórico. En particular, los atacantes recuperaron repetidamente el acceso a los sistemas comprometidos. Esta explotación resalta una vulnerabilidad crítica: mala higiene de las credenciales y prácticas inadecuadas de parcheo en dispositivos y servicios web expuestos.

El prolongado período de invisibilidad de Unfading Sea Haze, que supera los cinco años para un probable actor de Estado-nación, es particularmente preocupante. A pesar de las extensas referencias cruzadas de artefactos y los informes públicos, Bitdefender no encontró ningún rastro de sus actividades anteriores.

“Esta investigación tiene como objetivo crear conciencia sobre la amenaza actual que representa Unfading Sea Haze y la importancia de prácticas sólidas de ciberseguridad. Al compartir nuestros hallazgos, queremos ayudar a la comunidad de seguridad con el conocimiento para detectar e interrumpir sus esfuerzos de espionaje”, asegura el informe.

Objetivos geopolíticos

El foco de los ataques de Unfading Sea Haze (organizaciones gubernamentales y militares en países del Mar de China Meridional) podría sugerir una alineación con los intereses chinos, a través del intercambio de herramientas entre vecinos. El uso de varias variantes de Gh0st RAT, una herramienta popular entre los actores chinos, insinúa una red potencial para compartir estas herramientas dentro del ecosistema cibernético chino.

La falta de una coincidencia definitiva y la presencia de estas pistas sugerentes pintan la imagen de un actor de amenazas sofisticado con conexiones con el ecosistema cibernético chino. Sin embargo, se necesita más investigación y colaboración para solidificar esta atribución.