El Escudo Dorado de China: el arma de ArcaneDoor: cómo la censura se utiliza para el espionaje
La compañía reveló la participación de China en el espionaje y las herramientas de los hackers.
La compañía Censys ha revelado información sobre una nueva campaña de ciberespionaje llamada ArcaneDoor, presuntamente relacionada con China. Se informa que los ataques comenzaron en julio de 2023, y el primer ataque fue registrado en enero de 2024.
Los ataques fueron llevados a cabo por el grupo UAT4356 (Storm-1849), que utilizó dos tipos de malware: Line Runner y Line Dancer. Estos programas fueron implantados a través de vulnerabilidades en los dispositivos Cisco Adaptive Security Appliances, que ya han sido corregidas por los desarrolladores (CVE-2024-20353 con una calificación CVSS de 8.6 y CVE-2024-20359 con una calificación CVSS de 6.0).
Durante la investigación, se descubrió que los delincuentes mostraban interés en servidores de Microsoft Exchange y dispositivos de otros fabricantes. Tras analizar las direcciones IP de los hackers, Censys señaló que podría haber una implicación de China. 4 de los 5 hosts, que utilizan certificados SSL relacionados con la infraestructura de los delincuentes, se encuentran en redes de Tencent y ChinaNet.
Además, uno de los hosts se encuentra en París y está relacionado con la herramienta anticensorship Marzban. Considerando que Marzban fue desarrollado por programadores chinos, es evidente que fue creado con el propósito de eludir el Gran Cortafuegos Chino (Great Firewall, o Escudo Dorado).
Determinar si los ciberataques son patrocinados por las autoridades chinas requiere un enfoque integral. Aunque el análisis de las redes donde se ubica la infraestructura de los hackers es parte del rompecabezas, existen otros factores que deben considerarse, como los métodos de ataque, las víctimas y el contexto geopolítico. Es muy probable que la investigación de los expertos continúe a medida que se obtenga más información sobre los objetivos de los ataques.
Anteriormente, Cisco advirtió que los dispositivos Adaptive Security Appliances, que combinan firewall, VPN y otros componentes de seguridad, habían sido comprometidos por un grupo de hackers, aparentemente vinculado a un estado hostil. Los intrusos explotaron dos vulnerabilidades previamente desconocidas en los productos de Cisco para acceder a instalaciones gubernamentales en diversos países del mundo. El ciberataque ha sido denominado ArcaneDoor.
¿Estás cansado de que Internet sepa todo sobre ti?