África y el Caribe están en la mira de los hackers chinos de Sharp Panda

El grupo de hackers chinos Sharp Panda, conocido por sus campañas de ciberespionaje, ha comenzado a atacar organizaciones gubernamentales en África y el Caribe, según informaron especialistas de Check Point en su reciente informe .

En el marco de la campaña, se utiliza el malware Beacon, parte del framework Cobalt Strike, que ofrece funciones para el control remoto de sistemas infectados y la ejecución de comandos. El uso de este conjunto de herramientas permite minimizar el uso de herramientas personalizadas y reducir el riesgo de detección. Según los expertos de Check Point, este enfoque demuestra una comprensión profunda de los objetivos de los ataques.

Sharp Panda, también conocida como Sharp Dragon, fue descubierta por primera vez en junio de 2021, cuando atacó al gobierno de un país en el sudeste asiático utilizando el malware VictoryDLL. En ataques posteriores, los hackers utilizaron el framework modular Soul, que permite obtener componentes adicionales de servidores controlados por los malhechores para una recopilación de información avanzada.

Las investigaciones muestran que el desarrollo de Soul comenzó en octubre de 2017. Este backdoor incluye funciones tomadas de Gh0st RAT y otras herramientas públicamente disponibles, comúnmente utilizadas por ciberdelincuentes chinos.

En junio de 2023, el grupo atacó a altos funcionarios de países del G20, lo que indica un enfoque continuo en las estructuras gubernamentales para la recopilación de información. Un elemento crucial de las operaciones de Sharp Panda es la explotación de vulnerabilidades de día cero, como CVE-2023-0669 , para infiltrarse en la infraestructura y usarla como servidores C2.

Los recientes ataques a los gobiernos de África y el Caribe demuestran una expansión de los objetivos de ataque. Los malhechores usan cuentas de correo electrónico hackeadas de altos funcionarios del sudeste asiático para enviar correos electrónicos de phishing con archivos maliciosos, utilizando la herramienta Royal Road para distribuir el cargador "5.t". Este cargador realiza reconocimiento y despliega Cobalt Strike Beacon, lo que permite a los hackers recolectar información precisa sobre los sistemas objetivos.

El uso de Cobalt Strike no solo reduce el riesgo de detección de herramientas personalizadas, sino que también indica un "enfoque avanzado en la evaluación de objetivos", como señala Check Point. Recientemente, los hackers también comenzaron a usar archivos ejecutables disfrazados de documentos para aumentar la probabilidad de infección, lo que demuestra una mejora continua en sus tácticas.

La expansión estratégica de las actividades de Sharp Dragon en África y el Caribe refleja el deseo de los ciberdelincuentes chinos de fortalecer su presencia e influencia en estas regiones.

Grupos de hackers como Sharp Panda continúan perfeccionando sus métodos, adaptando tácticas y utilizando las herramientas más recientes para infiltrarse en las estructuras gubernamentales de varios países. Su actividad va más allá de las regiones individuales, demostrando un esfuerzo por expandir su influencia y recolectar información confidencial a escala global.

Esta actividad maliciosa subraya la necesidad de mejorar la ciberseguridad y fortalecer la cooperación internacional en la lucha contra la ciberdelincuencia para proteger las estructuras gubernamentales y datos críticos más importantes.