Los ciberespías utilizaron sofisticados esquemas de enmascaramiento para ocultar sus acciones.
Un instituto de investigación en Taiwán, vinculado al gobierno, fue víctima de un ciberataque detectado por la empresa Cisco Talos. El ataque, ocurrido en julio de 2023, ocasionó la infección de los sistemas del instituto con los malwares ShadowPad y Cobalt Strike. Los especialistas relacionan esta campaña con el grupo de hackers APT41, que según las autoridades estadounidenses tiene vínculos con China.
Cisco Talos descubrió comandos anómalos de PowerShell que se conectaban a una dirección IP para descargar y ejecutar scripts. El malware ShadowPad utilizó una versión vulnerable de Microsoft Office IME para ejecutar su cargador. APT41 también creó un cargador especial para explotar la vulnerabilidad CVE-2018-0824, que permite obtener una elevación local de privilegios.
Los investigadores señalan que los métodos e instrumentos utilizados son consistentes con los característicos de APT41, incluyendo el uso de ShadowPad, Bitdefender y FileZilla. Aunque no se encontró el código malicioso final de ShadowPad, se sabe que ShadowPad es utilizado exclusivamente por grupos de hackers chinos.
El Cobalt Strike descubierto durante el ataque, fue desarrollado utilizando el cargador CS-Avoid-Killing, destinado a evitar la detección por antivirus. El cargador está escrito en lenguaje Go y contiene cadenas en chino simplificado, lo que confirma la implicación de hackers chinos.
Durante el ataque, los malhechores comprometieron tres hosts en la red objetiva y lograron extraer documentos valiosos. Los hackers instalaron web shells, utilizaron RDP y shells inversos para propagar el malware.
APT41 también utilizó herramientas para recopilar contraseñas, incluyendo Mimikatz y WebBrowserPassView. Los hackers ejecutaron comandos para obtener información sobre usuarios, estructura de directorios y configuraciones de red. Para la exfiltración de datos, los criminales comprimieron y cifraron archivos usando 7zip, y luego los enviaron al servidor de comando y control.
Durante el análisis de la campaña, se descubrieron dos tipos de cargadores de ShadowPad. El primero utilizaba una versión antigua de Microsoft Office IME, el segundo fue desarrollado utilizando una biblioteca Bitdefender vulnerable. Ambos tipos de cargadores utilizaban archivos binarios legítimos para ejecutar código malicioso.
La investigación reveló interesantes herramientas utilizadas por los hackers, incluyendo UnmarshalPwn para explotar CVE-2018-0824. También se identificaron otros componentes de infraestructura utilizados en diferentes campañas por el mismo grupo de hackers.
La creciente complejidad de los métodos e instrumentos empleados por el grupo APT41 señala una amenaza en aumento para organizaciones de todo el mundo. Este incidente subraya la necesidad crítica de que las empresas e instituciones mejoren constantemente sus sistemas de ciberseguridad, actualicen regularmente el software y realicen auditorías de vulnerabilidades.