Unfading Sea Haze: cómo los hackers intentan remapear el Mar del Sur de China

Bitdefender, desarrollador de soluciones antivirus, está investigando las actividades de un grupo de hackers conocido como Unfading Sea Haze . Según un informe reciente, este discreto grupo ha estado operando desde 2018 y probablemente actúa en interés de China.

En su informe, los investigadores de Bitdefender describen en detalle a los ciberdelincuentes y sus métodos para hackear computadoras con Windows e infectarlas con software espía para robar datos. Los ataques de Unfading Sea Haze, dirigidos principalmente a objetivos gubernamentales y militares, se distinguen por su sofisticación.

Los expertos no pudieron determinar definitivamente el origen y los verdaderos objetivos de Unfading Sea Haze. Sin embargo, afirman con confianza que los ataques estudiados no tienen nada que ver con las campañas conocidas.

Los analistas concluyeron que los hackers se basan en China, guiados por varios factores: la selección de víctimas en la región del Mar del Sur de China, el uso de herramientas populares entre los actores chinos y los escenarios de ataque similares a los métodos de otro grupo motivado políticamente, APT41.

El Mar del Sur de China tiene un enorme significado estratégico para China desde una perspectiva geopolítica y económica. El control de esta región proporciona acceso al Océano Pacífico y ventajas en las rutas comerciales. Sin embargo, otros estados de la región, como Malasia, Filipinas, Vietnam y algunos más, también reclaman partes del mar. China, por su parte, reivindica el territorio de casi todo el mar, como lo demuestra la llamada "línea de nueve puntos", la demarcación de los límites marítimos en los mapas de China.

Según el informe, el primer ataque exitoso de Unfading Sea Haze contra sistemas Windows data de al menos 2018. Bitdefender pudo confirmar que para obtener acceso, los hackers utilizaron campañas de phishing dirigidas, enmascarando los archivos maliciosos como documentos legítimos.

En total, al menos ocho organizaciones, principalmente agencias gubernamentales y estructuras del sector militar, han sido víctimas de Unfading Sea Haze. Según el estudio, en marzo de 2023, los atacantes actualizaron sus métodos, aprendiendo a ejecutar código malicioso directamente desde la memoria RAM sin escribirlo en el disco duro, lo que dificultó su detección.

En los sistemas comprometidos se instalaron varios programas maliciosos, incluidos troyanos de la familia Gh0st RAT y la utilidad Ps2dllLoader. El código malicioso se camuflaba como tareas programadas legítimas y extensiones inofensivas, pero en realidad cargaba bibliotecas DLL maliciosas para llevar a cabo un espionaje encubierto. Estas bibliotecas interceptaban pulsaciones de teclas, robaban datos confidenciales almacenados en navegadores y escaneaban unidades extraíbles.

Todos los datos recopilados por los hackers, incluidos los archivos confidenciales robados, se enviaban a los ciberdelincuentes a través de FTP utilizando la utilidad Curl. Inicialmente, se usaban credenciales estáticas codificadas en el malware, pero más tarde el grupo cambió a generación dinámica de nombres de usuario y contraseñas.

Según las observaciones de los expertos, los atacantes de Unfading Sea Haze fueron cambiando gradualmente su táctica y herramientas. Dado que este grupo acaba de ser descubierto, es probable que sus innovaciones fueran parte de un plan dirigido a largo plazo, en lugar de una reacción espontánea a incidentes.

Un representante de Bitdefender explicó que, si bien la empresa comprende el interés público, por razones de seguridad no puede revelar los países u organizaciones específicas que fueron atacados.