Un grupo chino de amenazas persistentes avanzadas (APT) ha estado apuntando a las instituciones financieras de Taiwán como parte de una «campaña persistente» que duró al menos 18 meses.
Las intrusiones, cuya intención principal era el espionaje, resultaron en el despliegue de una puerta trasera llamada Paquete xotorgando al adversario un amplio control sobre las máquinas comprometidas, dijo Symantec, propiedad de Broadcom, en un reporte publicado la semana pasada.
Lo notable de esta campaña es la cantidad de tiempo que el actor de amenazas estuvo al acecho en las redes de las víctimas, lo que brindó a los operadores amplias oportunidades para un reconocimiento detallado y filtrar información potencialmente confidencial relacionada con contactos comerciales e inversiones sin levantar ninguna señal de alerta.
En una de las organizaciones financieras no identificadas, los atacantes pasaron cerca de 250 días entre diciembre de 2020 y agosto de 2021, mientras que una entidad de fabricación tuvo su red bajo su vigilancia durante aproximadamente 175 días.
Aunque el vector de acceso inicial utilizado para la violación de los objetivos sigue sin estar claro, se sospecha que Antlion aprovechó una falla de la aplicación web para afianzarse y abandonar la puerta trasera personalizada xPack, que se emplea para ejecutar comandos del sistema, eliminar malware y herramientas subsiguientes, y organizar datos para la exfiltración.
Además, el actor de amenazas usó cargadores personalizados basados en C++, así como una combinación de herramientas legítimas listas para usar, como AnyDesk y living-off-the-land (LoteL) técnicas para obtener acceso remoto, volcar credenciales y ejecutar comandos arbitrarios.
«Se cree que Antlion ha estado involucrado en actividades de espionaje desde al menos 2011, y esta actividad reciente muestra que todavía es un actor a tener en cuenta más de 10 años después de su aparición», dijeron los investigadores.
Los hallazgos se suman a una lista creciente de grupos de estados-nación vinculados a China que han atacado a Taiwán en los últimos meses, con actividades cibernéticas maliciosas montadas por actores de amenazas rastreados como Tropic Trooper y Earth Lusca que atacan instituciones gubernamentales, de atención médica, de transporte y educativas en el país.
