Investigadores de ciberseguridad han vinculado varias campañas de ataque contra organizaciones y grupos étnicos en Asia que se documentaron hace ya seis años a un solo actor de amenaza denominado PKPLUG, que creen que está respaldado por China. Los expertos del grupo de investigación de amenazas de la Unidad 42 de Palo Alto Networks han estado siguiendo las campañas lanzadas por este grupo durante los últimos tres años. El nombre "PKPLUG" proviene del actor de amenaza que usa malware PlugX dentro de archivos ZIP que contienen los bytes mágicos ASCII "PK" en el encabezado. La Unidad 42 no está completamente segura de que PKPLUG sea un actor de amenaza único o varios grupos que utilicen las mismas tácticas, técnicas y procedimientos (TTP).
Lo que hace que este grupo se destaque es el uso de malware personalizado y herramientas disponibles públicamente. Según el informe, además del PlugX RAT (troyano de acceso remoto), se ha visto al grupo aprovechando las herramientas de Poison Ivy y Zupdax, HenBox (un troyano malicioso de Android), Farseer (una puerta trasera de Windows) y también el troyano 9002, que se cree para ser compartido entre un pequeño subconjunto de grupos de ataque. El grupo también favorece la carga lateral de DLL para ejecutar sus cargas maliciosas. Las cargas útiles generalmente se entregan a través de correos electrónicos de phishing con archivos adjuntos maliciosos o, en casos limitados, a través de exploits de Microsoft Office y scripts maliciosos de PowerShell.
"No está del todo claro en cuanto a los objetivos finales de PKPLUG, pero la instalación de implantes troyanos de puerta trasera en los sistemas de las víctimas, incluidos los dispositivos móviles, infiere el seguimiento de las víctimas y la recopilación de información es un objetivo clave", dijeron los investigadores.
Los principales objetivos de PKPLUG son los países y regiones del sudeste asiático, específicamente Myanmar, Taiwán, Vietnam, Indonesia, Mongolia, Tíbet y Xinjiang, muchos de ellos tienen una relación compleja con China, lo que puede explicar el interés particular del grupo.
Según la Unidad 42, la actividad PKPLUG confirmada más temprana fue reportada por Blue Coat Labs en noviembre de 2013 e involucró una campaña de PlugX lanzada contra objetivos mongoles. En este ataque, los actores utilizaron documentos de Word armados guardados como una página web de un solo archivo (archivo MHT) para explotar una vulnerabilidad (CVE-2012-0158) en Microsoft Office con el fin de eliminar y ejecutar el archivo WinRAR SFX que contiene tanto PlugX como una DLL paquete de carga lateral.
Desde noviembre de 2013 hasta febrero de 2019, los investigadores documentaron seis campañas de ciberespionaje vinculadas por el equipo de la Unidad 42 al PKPLUG. La campaña más reciente involucró una puerta trasera de Windows previamente desconocida llamada Farseer entregada a través de la técnica de carga lateral de DLL. Esta puerta trasera está diseñada para comprometer a los usuarios de Windows y fue utilizada por los actores de la amenaza en ataques contra objetivos en Mongolia y Myanmar.
Los investigadores notaron superposiciones entre la infraestructura y el malware utilizado en diferentes campañas.
“Las superposiciones entre las diferentes campañas documentadas, y las familias de malware utilizadas en ellas, existen tanto en infraestructura (nombres de dominio y direcciones IP que se reutilizan, a veces en múltiples casos) como en términos de rasgos maliciosos (comportamientos de tiempo de ejecución del programa o características de código estático también son donde las relaciones se pueden encontrar o fortalecer) ", dijo el equipo de investigación.
En al menos cuatro de las seis campañas, los actores de la amenaza utilizaron un conjunto compartido de direcciones IP como infraestructura de comando y control (C&C). Los investigadores también descubrieron que los atacantes usaban el mismo registrante para varios nombres de dominio alojados en esas direcciones.
"Basado en lo que sabemos y en lo que hemos obtenido de las publicaciones de otros, y a través del intercambio de la industria, PKPLUG es un grupo o grupos de amenazas que opera durante al menos los últimos seis años utilizando varias familias de malware, algunas más conocidas: Poison Ivy, PlugX y Zupdax; algunos son menos conocidos: 9002, HenBox y Farseer. La Unidad 42 ha estado rastreando al adversario durante tres años y, según los informes públicos, cree con gran confianza que tiene orígenes en los adversarios chinos de los estados nacionales ”, dijeron los investigadores.
"El uso de malware de Android muestra la intención de llegar a objetivos donde quizás las computadoras tradicionales, los sistemas operativos y las formas de comunicación son diferentes de los objetivos anteriores".
Un informe completo, incluyendo los indicadores de compromiso (IOC) en relación con PKPLUG se puede encontrar aquí .
