El APT 27 vinculado a China, que en el pasado se había observado apuntando a organizaciones de todo el mundo con campañas de ciberespionaje, parece haber cambiado a ataques de motivación financiera, según un nuevo informe de la empresa de servicios de ciberseguridad Profero.
APT27 ha estado activo desde al menos 2010 y es rastreado por firmas de seguridad como Emissary Panda, TG-3390, Iron Tiger, Bronze Union y Lucky Mouse. La lista de víctimas del grupo incluye organizaciones gubernamentales, así como contratistas de defensa de EE. UU., Un fabricante europeo de drones, empresas de servicios financieros y un centro de datos nacional en Asia Central.
Sin embargo, las campañas recientes contra las principales compañías de juegos investigadas por ingenieros de Profero, sugieren que los piratas informáticos se han movido a los ataques de ransomware. Uno de esos incidentes involucró la herramienta de Windows BitLocker que se utilizó para cifrar servidores centrales en una organización comprometida.
Los investigadores dijeron que descubrieron muestras de malware vinculadas a la campaña DRBControl descubiertas por Trend Micro a principios de 2020 y atribuidas a los grupos APT chinos APT27 y Winnti. El malware en cuestión es una variante de Clambling backdoor utilizado en la campaña DRBControl. Junto a la puerta trasera Clambling, los investigadores descubrieron un webshell ASPXSpy, una muestra de PlugX y Mimikatz.
"Con respecto a quién está detrás de esta cadena de infección específica, existen vínculos extremadamente fuertes con APT27 / Emissary Panda, en términos de similitudes de código y TTP", según el informe.
Profero dijo que los piratas informáticos pudieron comprometer a la organización objetivo a través de un proveedor de servicios externo que también fue infectado a través de otro proveedor de servicios externo.
“Lo que se destacó en este incidente fue el cifrado de los servicios principales mediante BitLocker, que es una herramienta de cifrado de unidades integrada en Windows. Esto fue particularmente interesante, ya que en muchos casos los actores de amenazas lanzarán ransomware a las máquinas, en lugar de usar herramientas locales. Anteriormente, APT27 no se enfocaba necesariamente en la ganancia financiera, por lo que emplear tácticas de actores de ransomware es muy inusual; sin embargo, este incidente ocurrió en un momento en que COVID-19 era desenfrenado en China, con bloqueos que se implementaron y, por lo tanto, un cambio a un enfoque financiero no sería sorprendente ”, dijeron los investigadores.
