El laboratorio de ESET ha descubierto nuevas actividades llevadas a cabo por el grupo de ciberdelincuentes Winnti contra las universidades de Hong Kong. El motor de análisis de ESET detectó una muestra maliciosa y única en diferentes equipos de dos universidades hongkonesas y ha advertido de al menos otras tres universidades que se podrían haber visto afectadas. Los delincuentes estaban interesados en robar información de las víctimas infectadas en un momento de importante tensión en las calles debido a las protestas ciudadanas que se están llevando a cabo.
La última investigación sobre Winnti -responsable de otros ataques contra las cadenas de suministro de importantes organizaciones y contra la industria del desarrollo de software y videojuegos, así como contra los sectores educativo y sanitario- confirma que el grupo aún utiliza los backdoors ShadowPad. Sin embargo, en esta campaña contra universidades el launcher de ShadowPad ha sido reemplazado por una versión más simple detectada por ESET como Win32/Shadowpad.C.
“Tanto las muestras de ShadowPad como de Winnti detectadas en este ataque contienen identificadores y URLs de mando y control que coinciden con las universidades infectadas, lo que demuestra que se trata de ataques dirigidos”, afirma Mathieu Tartare, responsable de la investigación sobre Winnti en ESET. “ShadowPad es un backdoor multimodular y, por defecto, graba cada pulsación en el teclado utilizando un módulo keylogger. El uso de este módulo indica que los atacantes estaban interesados en robar información de las víctimas. En otras variantes analizadas anteriormente este módulo ni siquiera existe”.
