Actor de amenazas patrocinado por el estado chino apunta a medios, organizaciones diplomáticas, gubernamentales y del sector público y grupos de expertos en Japón
Se ha observado que Stone Panda, que es el actor de amenazas patrocinado por el estado chino, emplea una nueva cadena de infección sigilosa en sus ataques dirigidos a entidades japonesas.
Los objetivos incluyen medios, organizaciones diplomáticas, gubernamentales y del sector público y grupos de expertos en Japón, según informes gemelos publicados por Kaspersky.
Stone Panda, también llamado APT10, Bronze Riverside, Cicada y Potassium, es un grupo de ciberespionaje conocido por sus intrusiones contra organizaciones identificadas como estratégicamente significativas para China. Se cree que el actor de amenazas ha estado activo desde al menos 2009.
El último conjunto de ataques se observó entre marzo y junio de 2022. Los ataques observados involucran el uso de un archivo de Microsoft Word falso y un archivo de archivo autoextraíble (SFX) en formato RAR propagado a través de correos electrónicos de phishing, lo que lleva a la ejecución de una puerta trasera llamada LODEINFO.
Si bien el maldoc requiere que los usuarios habiliten macros para activar la cadena de eliminación, se descubrió que la campaña de junio de 2022 abandonó este método a favor de un archivo SFX que, cuando se ejecuta, muestra un documento de Word señuelo inofensivo para ocultar las actividades maliciosas.
La macro, una vez habilitada, suelta un archivo ZIP que contiene dos archivos, uno de los cuales ("NRTOLF.exe") es un ejecutable legítimo del software K7Security Suite que posteriormente se usa para cargar una DLL no autorizada ("K7SysMn1.dll") a través de DLL carga lateral.
Dejando a un lado el abuso de la aplicación de seguridad, Kaspersky dijo que también descubrió en junio de 2022 otro método de infección inicial en el que un archivo de Microsoft Word protegido con contraseña actuó como un conducto para entregar un descargador sin archivos denominado DOWNIISSA al habilitar macros.
“La macro incrustada genera el shellcode DOWNIISSA y lo inyecta en el proceso actual (WINWORD.exe)”, dijo la compañía rusa de ciberseguridad.
DOWNIISSA está configurado para comunicarse con un servidor remoto codificado, usándolo para recuperar una carga útil BLOB encriptada de LODEINFO, una puerta trasera capaz de ejecutar shellcode arbitrario, tomar capturas de pantalla y filtrar archivos de vuelta al servidor.
El malware, que se vio por primera vez en 2019, experimentó numerosas mejoras, y Kaspersky identificó seis versiones diferentes en marzo, abril, junio y septiembre de 2022.
Los cambios incluyen técnicas de evasión mejoradas para pasar desapercibidos, detener la ejecución en máquinas con la configuración regional "en_US", revisar la lista de comandos admitidos y ampliar el soporte para la arquitectura Intel de 64 bits.
“El malware LODEINFO se actualiza con mucha frecuencia y continúa apuntando activamente a las organizaciones japonesas”, concluyeron los investigadores.
“Los TTP actualizados y las mejoras en LODEINFO y el malware relacionado indican que el atacante está particularmente enfocado en realizar detección, análisis
Español de Colombia 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada