Warp Panda, nuevo grupo de ciberespionaje chino

El nuevo grupo Warp Panda ha sido identificado por CrowdStrike, para quien “representa una ampliación de las tácticas alineadas con la República Popular China, con operaciones diseñadas para asegurar acceso encubierto y a largo plazo a través de entornos híbridos en la nube, incluyendo Microsoft 365, Azure y VMware vCenter, con el objetivo de alcanzar datos de alto valor alineados con los intereses del gobierno chino”.

El grupo acaba de ser identificado como tal gracias a la actividad que inició este verano en Estados Unidos, con incidencia en los sectores legal, tecnológico y de manufactura. Sin embargo, se trata de operaciones mantenidas a lo largo del tiempo, con “acceso persistente” a las redes comprometidas: en una de las intrusiones detectadas ahora, el acceso inicial había tenido lugar a finales de 2023.

Según explica la compañía en su blog, Warp Panda se sirve de tres malware personalizados: Brickstorm, una puerta trasera que permite navegar en el sistema de archivos y cargar o descargar ficheros; Junction, un implante para servidores VMware ESXi que actúa como servidor HTTP; y GuestConduit, que facilita la comunicación entre las máquinas virtuales invitadas y los hipervisores. Por otro lado, en sus operaciones fueron capaces de explotar al menos cinco vulnerabilidades en dispositivos Egde y entornos VMware vCenter.

La actividad del grupo se inició al menos en 2022 y se espera “con confianza moderada” que Warp Panda continúe con sus operaciones de extracción de inteligencia, teniendo en cuenta sus “capacidades técnicas significativas y el foco en operaciones a largo plazo, lo que sugiere que están asociados con una organización solvente que ha hecho una gran inversión en las capacidades de ciberespinaje.