Crimson Palace: el tifón del ciberespionaje azota el sudeste asiático

Los ciberdelincuentes vinculados a China continúan ampliando sus ataques contra las instituciones gubernamentales del sudeste asiático en el marco de una nueva ola de actividad de espionaje, denominada Crimson Palace. Así lo informa la empresa Sophos, que se dedica a monitorear estas amenazas.

Los ataques incluyen tres grupos, designados por los investigadores como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) y Cluster Charlie (STAC1305), cada uno de los cuales opera bajo escenarios específicos. Según el informe de Sophos, los atacantes utilizan redes de organizaciones previamente comprometidas para distribuir software malicioso, haciéndose pasar por fuentes confiables.

La operación Crimson Palace fue detectada por primera vez por Sophos en junio de 2024, aunque los ataques comenzaron en marzo de 2023 y continuaron hasta abril de 2024. Las últimas actividades relacionadas con Cluster Bravo se observaron entre enero y junio de 2024, afectando a 11 organizaciones de la región.

Cluster Charlie, también conocido como Earth Longzhi, ha llamado especialmente la atención. Este grupo estuvo activo desde septiembre de 2023 hasta junio de 2024, utilizando varias herramientas para comprometer redes, incluidas plataformas conocidas como Cobalt Strike y Havoc, lo que permitió a los hackers profundizar en los sistemas y causar nuevos daños.

Los investigadores destacaron que el objetivo principal de los ataques no es solo recopilar valiosa información de inteligencia, sino también afianzar posiciones dentro de las redes de las víctimas. Los hackers intentaron evadir los sistemas de seguridad y restablecer el acceso a la infraestructura, incluso después de que su software malicioso fuera bloqueado.

También es importante destacar el uso intensivo de la técnica de sustitución de bibliotecas dinámicas (DLL) por parte de Cluster Charlie, una táctica que anteriormente también había sido utilizada por Cluster Alpha, mostrando enfoques similares entre los diferentes grupos.

Además, el arsenal de los hackers incluye programas como RealBlindingEDR y Alcatraz, que les ayudan a evadir los antivirus y a disfrazar archivos maliciosos. Una de las herramientas más peligrosas de los delincuentes es el nuevo registrador de teclas TattleTale, capaz de robar datos de los navegadores Google Chrome y Microsoft Edge.

Este software malicioso también puede recopilar información sobre los sistemas de las víctimas, incluidos los nombres de los controladores de dominio y las configuraciones de seguridad, lo que lo convierte en una amenaza especialmente peligrosa.

Los tres grupos operan conjuntamente, pero cada uno desempeña un papel específico en la cadena de ataques: Cluster Alpha se encarga de la infiltración y la recolección de información, Cluster Bravo se adentra en los sistemas, y Cluster Charlie se centra en el robo de datos.

Los expertos recomiendan a las organizaciones de las regiones vulnerables que refuercen sus medidas de ciberseguridad, incluidas la actualización regular del software y los sistemas de seguridad, la monitorización del tráfico de red y la implementación de soluciones para la detección y prevención de amenazas.

Se debe prestar especial atención a la protección de los servidores de correo y otros elementos críticos de la infraestructura, ya que se están convirtiendo en los principales objetivos de los ataques. Una evaluación constante de las vulnerabilidades y la implementación de métodos de protección proactivos pueden ayudar a reducir los riesgos y minimizar los daños de este tipo de operaciones de ciberespionaje.