Los investigadores del equipo de Inteligencia Estratégica de McAfee Advanced Threat Research (ATR) detallaron una nueva operación de ciberespacio dirigida a empresas de telecomunicaciones con sede en el sudeste asiático, Europa y EE. UU.
Los investigadores creen que el objetivo de la campaña, denominada "Operación Diànxùn", es obtener información relacionada con la tecnología 5G, y la operación probablemente esté motivada por la prohibición del uso de tecnología china en los lanzamientos de 5G en varios países. Según el proveedor de seguridad, Operation Diànxùn es probablemente obra de Mustang Panda, un grupo APT (amenaza persistente avanzada) vinculado a China conocido por sus ataques contra organizaciones no gubernamentales en el sudeste asiático.
La Operación Diànxùn involucra un malware disfrazado de aplicación Flash, que se entrega a través de un sitio de phishing disfrazado como el sitio de carrera de Huawei. Los investigadores descubrieron que la muestra de malware disfrazada de aplicación Flash utilizaba un nombre de dominio diseñado para parecerse a la página web oficial en China para el sitio de descarga de Flash.
Si bien los ataques anteriores de Mustang Panda involucraron principalmente el uso de la puerta trasera PlugX, Operation Diànxùn no usó este malware en particular, sin embargo, el grupo continúa usando una baliza Cobalt Strike como medio de comunicación con la infraestructura remota de los atacantes.
“En cuanto al sector objetivo (telecomunicaciones), creemos que esta campaña se utilizó para acceder a datos sensibles y para espiar empresas relacionadas con la tecnología 5G. Además, el uso de un sitio web falso de Huawei brinda más pistas sobre los objetivos de las telecomunicaciones. El anuncio de la prohibición de Huawei en varios países podría haber motivado la operación ”, dijeron los investigadores.
“Los métodos operativos fueron asignados previamente a los grupos chinos Red Delta y Mustang Panda. Si bien creemos que los dos actores podrían ser iguales, basados en técnicas, tácticas y procedimientos similares, actualmente no tenemos más evidencia. Curiosamente, el grupo RedDelta se ha dirigido anteriormente a organizaciones católicas, mientras que esta campaña se centra principalmente en las telecomunicaciones ”.
