Amenazas Persistentes Avanzadas chinas utilizan México como plataforma para ejecutar ciberataques contra Estados Unidos

junio 28, 2024

Amenazas Persistentes Avanzadas chinas utilizan México como plataforma para ejecutar ciberataques contra Estados Unidos

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

En 2017, China promulgó una normativa nacional de seguridad e inteligencia, permitiendo al estado emplear una variedad de recursos, incluso aquellos considerados no tradicionales, para la obtención de información e inteligencia. Esta normativa quedó establecida en la “Ley Nacional de Inteligencia de la República Popular China”.

En su artículo 14, dicha ley establece que el espionaje chino tiene como objetivo proteger la seguridad nacional del país, enfocándose en la obtención de beneficios comerciales y tecnológicos.

En este sentido, la Ley Nacional de Inteligencia concede a las agencias civiles y militares chinas la autoridad para obtener el apoyo, asistencia y cooperación necesarios de instituciones, organizaciones y ciudadanos para recopilar información e inteligencia en beneficio de la República Popular China. La normativa establece dos prioridades principales: adquirir secretos tecnológicos y secretos militares de otros países.

China, a través de su Ministerio Estatal de Seguridad, gestiona todas las actividades de espionaje, ejerciendo autoridad sobre otras dependencias del gobierno. Cuando esto no es suficiente, presuntamente recurre a grupos conocidos como APTs (Amenazas Persistentes Avanzadas), que a menudo realizan el trabajo sucio, clandestino o ilegal que las agencias oficiales no pueden llevar a cabo.

En este contexto, las APTs han intensificado su actividad como parte de campañas de espionaje altamente sofisticadas, que se extienden por aproximadamente tres a cuatro años, dirigidas contra objetivos gubernamentales de interés político, tecnológico y militar.

Por esta razón, la unidad de investigación de SILIKN ha detectado, mediante un análisis de tácticas, técnicas y procedimientos, un aumento en la actividad de APTs como BackdoorDiplomacy, APT15, APT41 y su subgrupo Earth Longzhi, dirigidas contra dependencias del gobierno mexicano con el objetivo de utilizarlas como plataforma para atacar a agencias estadounidenses. La razón de estos ataques contra el gobierno de México es evidente: ofrece menor resistencia y seguridad en comparación con el gobierno de Estados Unidos.

- BackdoorDiplomacy es un grupo reconocido que ha estado activo desde al menos 2010. Se cree que tiene su base en China y ha sido asociado con varias campañas de ciberespionaje dirigidas a entidades gubernamentales y diplomáticas en América del Norte, América del Sur, África y Oriente Medio. Además de ser conocido como APT15, KeChang y Vixen Panda, el grupo emplea tácticas avanzadas para infiltrarse en redes específicas y evitar la detección. Utilizan tanto herramientas de código abierto como personalizadas en sus operaciones, desplegando diversos tipos de malware como puertas traseras, implantes y troyanos para establecerse firmemente en sus objetivos.

- APT15 es conocido por varios nombres como Bronze Palace, Ke3Chang, Mirage y Playful Dragon. Se sospecha que este grupo ha estado operativo desde al menos 2012 y ha dirigido sus ataques hacia organizaciones tanto del sector privado como público, incluyendo entidades diplomáticas y ministerios de asuntos exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África.

- APT41 llevó a cabo ataques en al menos 13 organizaciones distribuidas en Estados Unidos, Taiwán, India, Vietnam y China durante cuatro campañas separadas en 2021. Los sectores afectados incluyen el sector público, la manufactura, la sanidad, la logística, la hostelería, la educación, así como los medios de comunicación y la aviación. APT41, también referido como Barium, Bronze Atlas, Double Dragon, Wicked Panda o Winnti, es un destacado grupo chino de ciberamenazas conocido por realizar operaciones de espionaje respaldadas por el Estado y actividades con fines financieros desde al menos 2007.

- Earth Longzhi es un grupo respaldado por el estado chino que ha llevado a cabo campañas dirigidas contra entidades gubernamentales, de salud, tecnología y manufactura ubicadas principalmente en Taiwán, Tailandia, Filipinas y Fiji. Es un subgrupo dentro de APT41 y comparte similitudes con varios otros grupos como Earth Baku, SparklingGoblin y GroupCC. Fue identificado por primera vez en noviembre de 2022, cuando se documentaron sus ataques contra diversas organizaciones en el este y sureste de Asia, así como en Ucrania. El grupo utiliza cadenas de ataque que aprovechan aplicaciones públicas vulnerables como puntos de entrada para instalar un web shells, y luego utilizan ese acceso para desplegar cargas adicionales, incluyendo una nueva variante de un cargador Cobalt Strike llamada CroxLoader.

Las APTs mencionadas anteriormente han planificado sus acciones para obtener información detallada sobre usuarios específicos, así como datos confidenciales de naturaleza política, económica y militar, empleando una amplia gama de herramientas a lo largo de la campaña, que incluyen malware innovador como herramientas de persistencia.

De igual forma, las APTs parecen haber estado apoyando los intereses estatales chinos al recopilar inteligencia militar y económica relacionada con las estrategias conjuntas entre México y Estados Unidos. En esta campaña específica, se estima que estos grupos de ataque operan de manera coordinada contra el mismo objetivo, bajo la dirección general de una autoridad estatal central. Además, es conocido que los atacantes chinos comparten infraestructura y herramientas, y estas recientes campañas subrayan la amplitud con la que estos grupos intercambian sus recursos y técnicas.

Asimismo, las APTs utilizan varios tipos de malware diseñados para desactivar los antivirus, obtener privilegios elevados y realizar reconocimientos. Una vez dentro de la red objetivo, operan durante períodos de tres a cuatro años, concentrándose en moverse lateralmente a través de la infraestructura de la víctima para instalar puertas traseras que faciliten la comunicación externa. Durante este proceso, también realizan descubrimientos y extraen credenciales importantes.

Además, estos grupos utilizan técnicas de persistencia mediante programas que simulan ser ejecutables de Microsoft, estableciendo conexiones con la infraestructura de comando y control de los atacantes. Esto les permite extraer una gran cantidad de datos confidenciales para propósitos de espionaje, que incluyen documentos militares y políticos, así como credenciales y tokens para obtener acceso extendido dentro de la red.

Por el tipo de vulnerabilidades que aprovechan las APTs, desde marzo de este año, la unidad de investigación de SILIKN alertó que las dependencias de gobierno que pueden estar en riesgo son:

- Secretaría de Desarrollo Económico de la Ciudad de México
- Portal de Transparencia de la Ciudad de México
- Secretaría de la Función Pública
- Gobierno del Estado de Durango
- Secretaría de Educación de Veracruz
- Servicio Nacional de Sanidad, Inocuidad y Calidad Agroalimentaria
- Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado
- Secretaría de Seguridad y Protección Ciudadana
- Gobierno del Estado de Oaxaca
- Secretaría de Salud
- Secretaría de Educación del Estado de Puebla
- Gobierno del Estado de Tabasco
- Secretaría de Educación Pública
- Suprema Corte de Justicia de la Nación
- Gobierno del Estado de Guanajuato
- Secretaría del Trabajo y Previsión Social
- Gobierno del Estado de Nuevo León
- Gobierno del Estado de México
- Secretaría de Salud de Veracruz
- Poder Judicial del Estado de Nuevo León
- Instituto Mexicano de la Juventud
- Secretaría de Seguridad Pública de Puebla
- Secretaría de Educación de Coahuila
- Instituto Nacional de Investigaciones Forestales, Agrícolas y Pecuarias
- Secretaría de Finanzas de la Ciudad de México

De las cuales algunas de estas entidades ya han sido comprometidas, según informes recientes sobre los incidentes, especialmente aquellas pertenecientes al gobierno de la Ciudad de México.

Considerando lo frecuente que estos grupos de amenazas chinas se solapan y comparten herramientas, es probable que las tácticas, técnicas y procedimientos, así como el nuevo malware, puedan aparecer en futuras operaciones chinas en México. Por lo tanto, se aconseja mantener una vigilancia constante de los sistemas para poder aplicar de manera oportuna las medidas de seguridad adecuadas.

Para más información, visite: https://www.silikn.com/