RedEcho, un actor de amenazas que se cree que trabaja en nombre del gobierno chino, ha derribado parte de su infraestructura de comando y control (C2) después de que investigadores de seguridad expusieron sus actividades dirigidas a operadores de infraestructura crítica en India.
A fines de febrero de 2021, el Grupo Insikt de Recorded Future publicó un informe que detalla una campaña de ciberespionaje dirigida a las organizaciones del sector eléctrico de la India. Según los investigadores, al menos 10 organizaciones fueron el objetivo de esta campaña, incluidos 4 de los 5 Centros Regionales de Despacho de Carga (RLDC) responsables de la operación de la red eléctrica mediante el equilibrio del suministro y la demanda de electricidad, así como 2 puertos marítimos de la India.
Dado que las relaciones entre India y China se han deteriorado significativamente después de los enfrentamientos fronterizos en mayo de 2020, el número de ataques contra India por presuntos grupos de hackers chinos también aumentó, señaló Insikt Group.
“Desde mediados de 2020 en adelante, la colección de punto medio de Recorded Future reveló un fuerte aumento en el uso de la infraestructura rastreada como AXIOMATICASYMPTOTE, que abarca servidores de comando y control ShadowPad (C2), para apuntar a una gran franja del sector energético de la India ... hemos determinado que un Un subconjunto de estos servidores AXIOMATICASYMPTOTE comparten algunas tácticas, técnicas y procedimientos de infraestructura (TTP) comunes con varios grupos patrocinados por el estado chino de los que se informó anteriormente, incluidos APT41 y Tonto Team ”, dijeron los investigadores.
Sin embargo, a pesar de los solapamientos con APT41 y Tonto Team, Recorded Future cree que RedEcho es "un grupo de actividad estrechamente relacionado pero distinto".
Menos de dos semanas después de la publicación del informe, los investigadores notaron que el actor de la amenaza había eliminado parte de su infraestructura de dominio, más específicamente, los dominios web que el grupo usó anteriormente para controlar el malware ShadowPad dentro de la red eléctrica india pirateada y expuestos por Recorded. Futuro.
“Las comunicaciones de víctimas identificadas más recientemente con la infraestructura de RedEcho fueron desde una dirección IP india el 11 de marzo de 2021 a RedEcho IP 210.92.18 [.] 132”, dijo Insikt al sitio web The Record.
"Esto probablemente se deba a una combinación de medidas defensivas tomadas por organizaciones específicas para bloquear los indicadores de red publicados y los pasos antes mencionados que el grupo tomó para alejarse de la infraestructura publicitada".
https://www.recordedfuture.com/redecho-targeting-indian-power-sector/
