Operación TIDRONE: Los piratas informáticos toman el control del suministro mundial de drones

Ciberataques TIDRONE ERP CXCLNT CLNTEND UAC Trend Micro China
Operación TIDRONE: Los piratas informáticos toman el control del suministro mundial de drones
Ciberataques TIDRONE ERP CXCLNT CLNTEND UAC Trend Micro China

Los atacantes evitan los antivirus y obtienen silenciosamente acceso ultrasecreto.

image

Un grupo de ciberdelincuentes desconocido, que probablemente tiene vínculos con agrupaciones de hackers de habla china, comenzó a atacar activamente a los fabricantes de drones taiwaneses en 2024. Según los datos de la empresa Trend Micro, la amenaza se rastrea bajo el nombre de TIDRONE, y su objetivo principal es el espionaje industrial, enfocado en las cadenas de suministro de equipo militar.

Aún no se ha determinado el método exacto de penetración en los sistemas de las empresas, pero los investigadores han identificado el uso de programas maliciosos CXCLNT y CLNTEND. Ambos se propagan a través de herramientas de administración remota de escritorio, como UltraVNC y otros.

Un rasgo común entre todas las víctimas fue la presencia del mismo software de gestión de recursos empresariales (ERP), lo que sugiere un posible ataque a la cadena de suministro.

Los ciberataques en la operación TIDRONE generalmente ocurren en tres etapas, dirigidas a:

  1. Elevación de privilegios a través de la evasión del control de cuentas de usuario (UAC);
  2. Obtención de credenciales de cuentas;
  3. Desactivación de antivirus en los dispositivos infectados.

El lanzamiento de los programas maliciosos se realiza a través de la carga de una biblioteca DLL maliciosa utilizando la aplicación Microsoft Word, lo que da a los atacantes acceso a información confidencial.

CXCLNT es capaz de cargar y descargar archivos, borrar rastros de su actividad, recopilar información del sistema y ejecutar las siguientes etapas del ataque. Por su parte, CLNTEND, detectado por primera vez en abril de 2024, tiene capacidades más amplias y admite varios protocolos de red, incluidos TCP, HTTP, HTTPS y SMB.

Los investigadores Pierre Li y Vicky Su de Trend Micro señalan que la coincidencia entre los tiempos de compilación de los archivos y la actividad del grupo cibernético con incidentes previos de espionaje confirma su conexión con ciertas agrupaciones de hackers de habla china.

Este incidente subraya la vulnerabilidad de las cadenas de suministro, especialmente en sectores relacionados con equipo militar.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

GAZEploit: cuando un solo vistazo revela todos los secretos y contraseñas a los piratas informáticos

CVE-2024-38217: ¿Por qué no se pudo detectar el 0day en Windows durante 6 años?

Caza de WhatsUp Gold: los hackers atacan, las empresas tardan en actualizar

El futuro robado: las tecnologías de Samsung se filtraron a China

Prisión a pantalla completa: cómo el modo quiosco obliga a los usuarios a ceder sus datos

Apagón escolar: 17.500 alumnos no fueron a la escuela por ciberataque

"Ojos" chinos en los puertos estadounidenses: ¿qué esconden los módems indocumentados?

Crimson Palace: el tifón del ciberespionaje azota el sudeste asiático

Kawasaki Motors sufrió un ataque de ransomware