Exploit en unas horas: cómo funciona el ejército cibernético élite de China

Ocho agencias líderes en ciberseguridad han emitido una advertencia conjunta sobre las actividades del grupo chino de ciberespionaje APT40, que es capaz de explotar vulnerabilidades en software en solo unas horas o días después de su descubrimiento.

APT40 (Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, Leviathan, Red Ladon, TA423) ha estado activo desde 2013. Sus principales objetivos de ataque se encuentran en la región de Asia-Pacífico. Se cree que el grupo de hackers tiene su base en Haikou y opera bajo la dirección del Ministerio de Seguridad del Estado de China (MSS).

En julio de 2021, el Reino Unido atribuyó a APT40 al gobierno chino. Varios miembros del grupo fueron acusados de una campaña de años de duración para robar secretos comerciales, propiedad intelectual e información valiosa de varios sectores.

Esquema de tácticas, técnicas y procedimientos (TTPs) del grupo APT40

APT40 rastrea activamente nuevas vulnerabilidades en software ampliamente utilizado, como Log4j, Atlassian Confluence y Microsoft Exchange. El grupo realiza regularmente reconocimientos de redes de varios países para encontrar dispositivos vulnerables e implementar rápidamente exploits.

Una característica importante de la táctica del grupo es el uso de web shells para establecer y mantener el acceso al entorno de la víctima, así como el uso de sitios web australianos como servidores C2. El grupo también incluye en su infraestructura dispositivos obsoletos o no actualizados, como routers SOHO, para redirigir el tráfico malicioso y evitar la detección. Este estilo de operación también es común en otros grupos chinos, como Volt Typhoon.

En los últimos años, APT40 ha estado vinculado a varias oleadas de ataques. Entre ellos, el uso del framework ScanBox para reconocimiento y la explotación de una vulnerabilidad en WinRAR (CVE-2023-38831, puntuación CVSS: 7.8).

Según Mandiant, las actividades de APT40 son parte de una tendencia amplia de China en el ciberespionaje, centrada en aumentar la clandestinidad. Los grupos de hackers utilizan cada vez más dispositivos en el borde de la red (Edge of Network, Edge Computing), redes ORB (Operational Relay Box) y métodos LotL (Living off the Land) para permanecer inadvertidos.

Para reducir los riesgos asociados con las amenazas de APT40, se recomienda a las organizaciones:

• Mantener mecanismos adecuados de registro;
• Implementar autenticación multifactor (MFA);
• Realizar una gestión confiable de parches;
• Reemplazar equipos obsoletos;
• Deshabilitar servicios, puertos y protocolos no utilizados;
• Segmentar redes para prevenir el acceso a datos confidenciales.

Estas medidas ayudarán a las organizaciones a protegerse de la creciente amenaza de APT40 y otros grupos de hackers similares, proporcionando más tiempo para detectar y neutralizar posibles ataques.