El informe “Crimson Palace: Nuevas herramientas, tácticas, objetivos” de Sophos describe los últimos avances en una campaña china de ciberespionaje de casi dos años en el sudeste asiático. En junio pasado Sophos X-Ops informó por primera vez sobre lo que denominó “Operación Palacio Carmesí“, detallando el hallazgo de tres grupos diferentes de actividad de entidades nacionales chinas (Cluster Alpha, Cluster Bravo y Cluster Charlie) dentro de una organización gubernamental de alto nivel.
Luego de un breve paréntesis en agosto de 2023, Sophos X-Ops detectó una nueva actividad de Cluster Bravo y Cluster Charlie, tanto en la organización objetivo inicial como en otras muchas organizaciones de la región.
En esta reaparición de la actividad de ciberespionaje, Sophos X-Ops descubrió un nuevo keylogger, denominado por los investigadores como “Tattletale”, el cual suplanta a usuarios que han iniciado sesión en el sistema y recopila información sobre políticas de contraseñas, configuración de seguridad, claves almacenadas en caché, información del navegador y datos de almacenamiento. A diferencia de la primera oleada de la operación, y en lugar de desplegar los tipos de malware personalizados, Cluster Charlie comenzó a utilizar cada vez más herramientas de código abierto.
“Hemos estado en una partida de ajedrez continua con estos ciberdelincuentes. Durante las fases iniciales de la operación, Cluster Charlie desplegaba varias herramientas y malware a medida”, dijo sobre esta campaña de ciberespionaje Paul Jaramillo, director de detección de amenazas e inteligencia de amenazas de Sophos.
“Sin embargo, fuimos capaces de ‘quemar’ gran parte de su infraestructura anterior, bloqueando sus herramientas de Mando y Control (C2) y obligándoles a pivotar. Esto es bueno; sin embargo, su cambio a herramientas de código abierto demuestra lo rápido que estos grupos de atacantes pueden adaptarse y seguir siendo persistentes. También parece ser una tendencia emergente entre los grupos de entidades nacionales chinas. Mientras la comunidad de seguridad trabaja para proteger nuestros sistemas más sensibles de estos atacantes, es importante compartir los conocimientos sobre este giro”, añadió el experto
Cluster Charlie estuvo activo originalmente de marzo a agosto de 2023 en una organización gubernamental de alto nivel en el sudeste asiático y resurgió en septiembre pasado, para estar activo al menos hasta mayo de 2024. En esta segunda etapa, el agente de ciberespionaje se centró en penetrar más profundamente en la red, evadir las herramientas de detección y respuesta de puntos finales (EDR) y recopilar más inteligencia. Junto con cambiar a herramientas de código abierto, Cluster Charlie también comenzó a emplear tácticas desplegadas inicialmente por Cluster Alpha y Cluster Bravo, lo que sugiere que la misma organización está dirigiendo los tres grupos de actividad.
En tanto, Cluster Bravo sólo estuvo activo originalmente en la red objetivo durante tres semanas en marzo de 2023, para reaparecer posteriormente en enero de 2024 y atacar a al menos otras 11 organizaciones y agencias de la misma región.
“No sólo estamos viendo que los tres grupos del ‘Palacio Carmesí’ están perfeccionando y coordinando sus tácticas, sino que también están ampliando sus operaciones e intentando infiltrarse en otros objetivos del sudeste asiático. Dada la frecuencia con que los grupos de entidades nacionales chinas comparten infraestructuras y herramientas, y el hecho de que los clusters Bravo y Charlie se están moviendo más allá del objetivo original, es probable que sigamos viendo evolucionar esta campaña, y potencialmente nuevas localizaciones. La seguiremos de cerca”, aseguró Jaramillo.
