Descubren un grupo de cibercriminales chinos que llevaba 5 años realizando campañas de ciberespionaje contra gobiernos de países de Asia y Pacífico

14 mayo, 2020
7 Compartido 950 Visualizaciones

El grupo, conocido como Naikon, trataba de infiltrarse en un organismo gubernamental con el objetivo de utilizar sus contactos y documentacións para lanzar ataques contra otras entidades e infectar sus equipos con el malware “Aria-body”

Check Point® ha descubierto a Naikon, un grupo chino APT que llevaba 5 años realizando operaciones de ciberespionaje contra varios gobiernos de Asia y Pacífico. Naikon reconoció en 2015 la autoría de varios ataques contra organismos gubernamentales y otras organizaciones en países situados alrededor del Mar de China, que tenían como objetivo acceder a información política confidencial. Sin embargo, durante ese mismo año el grupo parecía haber cesado su actividad, pero fue solo en apariencia, puesto quelos investigadores de la compañía han descubierto que el grupo no sólo se ha mantenido en activo durante los últimos cinco años, sino que también ha incrementado sus acciones de ciberespionaje durante todo el 2019 y el primer trimestre de 2020.  

Este grupo de cibercriminales dirige sus ataques principalmente a entidades gubernamentales como los ministerios de asuntos exteriores o ciencia y tecnología de países de la región de Asia y Pacífico, entre los que destacan Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei. Su principal objetivo es reunir una gran cantidad de información sensible con fines geopolíticos. 

¿Cómo desarrolla Naikon sus ataques?

El modus operandi de este grupo consistía en infiltrarse en un organismo gubernamental con el objetivo de utilizar sus contactos y documentos para lanzar ataques contra otras entidades, aprovechando la confianza y las relaciones diplomáticas para aumentar el porcentaje de éxito de que sus ataques. Los expertos de Check Point comenzaron su investigación analizando un correo electrónico enviado al gobierno australiano que incluía un documento adjunto infectado. Este archivo contenía un exploit que, al abrirse, se infiltraba en el PC del usuario e intentaba descargar un nuevo y sofisticado malware de puerta trasera (backdoor) llamado «Aria-body» desde los servidores web externos utilizados por el grupo Naikon. De esta forma, el grupo de cibercriminales obtenía acceso remoto al equipo o a la red infectada sin que ninguna herramienta de seguridad lo detectase.   

La cadena de infección se desarrolla en tres etapas:

  1. Suplantar la identidad de un organismo gubernamental para engañar a la víctima: Naikon comienza su ataque elaborando un correo electrónico con un documento que contiene información de interés para los objetivos. Estos datos pueden sacarse de fuentes abiertas, aunque procuran utilizar información robada de otros sistemas. 
  2. Infectar los documentos con malware para infiltrarse en los sistemas de destino: el grupo de cibercriminales infecta los documentos con “Aria-body”, un malware de tipo backdoor que les ofrece acceso a las redes de los objetivos. 
  3. Usar los propios servidores de los gobiernos para continuar y controlar los ataques:  Naikon se aprovecha de las infraestructuras y los servidores de sus víctimas para lanzar nuevos ataques, lo que contribuye a evitar su detección. Los expertos de Check Point descubrieron en uno de los casos que analizaron que el servidor que se había utilizado para el ataque pertenecía al departamento de ciencia y tecnología del gobierno de Filipinas.  

«Naikon intentó atacar a uno de nuestros clientes haciéndose pasar por un gobierno extranjero y fue en ese momento cuando volvieron a nuestro radar después de una ausencia de cinco años, y decidimos investigar más a fondo. Descubrimos que se trata de un grupo chino APT que utiliza herramientas muy sofisticadas. Se objetivo era reunir información sensible y espiar a los países, para lo cual han pasado los últimos cinco años desarrollando en la sombra ciberamenazas como “Aria-body”, un nuevo malware de tipo backdoor, señala Lotem Finkelsteen, director de Inteligencia de Amenazas de Check Point.  “Para evitar ser detectados, utilizaban exploits atribuidos a otros grupos APT y aprovechaban los servidores de sus víctimas como centros de mando y control. Desde Check Point, queremos hacer pública esta investigación para alertar a todas las entidades gubernamentales de la necesidad de extremar sus medidas de seguridad frente a este o cualquier otro grupo de cibercriminales, añade Finklesteen.

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

«Cada año vemos cómo aparecen nuevos tipos de amenazas»
Cyber Expertos
9 compartido1,902 visualizaciones
Cyber Expertos
9 compartido1,902 visualizaciones

«Cada año vemos cómo aparecen nuevos tipos de amenazas»

Aina Pou Rodríguez - 23 marzo, 2020

Raj es científico jefe y miembro de la firma de ciberseguridad McAfee. McAfee, empresa de ciberseguridad de vanguardia, ofrece soluciones de…

DNS es una de las tres principales fuentes de datos para detectar y mitigar de amenazas de seguridad
Actualidad
8 compartido2,032 visualizaciones
Actualidad
8 compartido2,032 visualizaciones

DNS es una de las tres principales fuentes de datos para detectar y mitigar de amenazas de seguridad

Alicia Burrueco - 23 julio, 2020

  Los responsables de seguridad y riesgos encuestados manifiestan que utilizan DNS para tres funciones de seguridad principalmente: detección y…

¡CISO Day 2020 ya tiene fecha! ¿Vienes?
CISO Day
651 visualizaciones
CISO Day
651 visualizaciones

¡CISO Day 2020 ya tiene fecha! ¿Vienes?

Alicia Burrueco - 14 julio, 2020

CISO Day, el Congreso anual centrado en la figura del director de ciberseguridad con más alcance de España y Latam…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.