Operación TIDRONE: Los piratas informáticos toman el control del suministro mundial de drones

Ciberataques TIDRONE ERP CXCLNT CLNTEND UAC Trend Micro China
Operación TIDRONE: Los piratas informáticos toman el control del suministro mundial de drones
Ciberataques TIDRONE ERP CXCLNT CLNTEND UAC Trend Micro China

Los atacantes evitan los antivirus y obtienen silenciosamente acceso ultrasecreto.

image

Un grupo de ciberdelincuentes desconocido, que probablemente tiene vínculos con agrupaciones de hackers de habla china, comenzó a atacar activamente a los fabricantes de drones taiwaneses en 2024. Según los datos de la empresa Trend Micro, la amenaza se rastrea bajo el nombre de TIDRONE, y su objetivo principal es el espionaje industrial, enfocado en las cadenas de suministro de equipo militar.

Aún no se ha determinado el método exacto de penetración en los sistemas de las empresas, pero los investigadores han identificado el uso de programas maliciosos CXCLNT y CLNTEND. Ambos se propagan a través de herramientas de administración remota de escritorio, como UltraVNC y otros.

Un rasgo común entre todas las víctimas fue la presencia del mismo software de gestión de recursos empresariales (ERP), lo que sugiere un posible ataque a la cadena de suministro.

Los ciberataques en la operación TIDRONE generalmente ocurren en tres etapas, dirigidas a:

  1. Elevación de privilegios a través de la evasión del control de cuentas de usuario (UAC);
  2. Obtención de credenciales de cuentas;
  3. Desactivación de antivirus en los dispositivos infectados.

El lanzamiento de los programas maliciosos se realiza a través de la carga de una biblioteca DLL maliciosa utilizando la aplicación Microsoft Word, lo que da a los atacantes acceso a información confidencial.

CXCLNT es capaz de cargar y descargar archivos, borrar rastros de su actividad, recopilar información del sistema y ejecutar las siguientes etapas del ataque. Por su parte, CLNTEND, detectado por primera vez en abril de 2024, tiene capacidades más amplias y admite varios protocolos de red, incluidos TCP, HTTP, HTTPS y SMB.

Los investigadores Pierre Li y Vicky Su de Trend Micro señalan que la coincidencia entre los tiempos de compilación de los archivos y la actividad del grupo cibernético con incidentes previos de espionaje confirma su conexión con ciertas agrupaciones de hackers de habla china.

Este incidente subraya la vulnerabilidad de las cadenas de suministro, especialmente en sectores relacionados con equipo militar.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!

Noticias sobre el tema

Las máquinas también quieren ir a casa: cómo un pequeño robot secuestró a sus compañeros en una exposición

El “grande y terrible” LightSpy finalmente llegó a Windows

Cartas de papel con virus: cómo los códigos QR falsos invadieron Suiza

Falsificación por $235 millones: una cuenta de Telegram derribó la cripto bolsa WazirX

Menos reglas, más riesgos: el nuevo paradigma cibernético de Trump

10 días para pedir rescate: hackers dieron ultimátum al gobierno mexicano

35.000 bots diarios: cómo ngioweb se convirtió en el principal canal de ciberdelincuencia

El ataque de Sitting Ducks está fuera de control: los piratas informáticos ya se han apoderado de 70.000 dominios

1,5 millones de registros médicos terminaron en manos de delincuentes