Los investigadores informaron este jueves que un actor de amenazas vinculado a China, Aogin Dragon, ha operado actividades de espionaje desde el 2013, apuntando a organizaciones gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia.
Los investigadores de SentinelLabs dijeron que Aogin Dragon busca el acceso inicial a través de exploits de documentos y el uso de unidades extraíbles falsas.
Los investigadores dijeron que otras técnicas que usa el atacante incluyen lo siguiente: secuestro de DLL, archivos empaquetados en Themida y túneles DNS para evadir la detección posterior al compromiso.
El gobierno chino siempre ha realizado un trabajo notable en la selección de objetivos altamente específicos diseñados para infectar a sus objetivos de espionaje, dijo John Bambenek, principal cazador de amenazas de Netenrich.
“Se esfuerzan mucho en hacer la investigación para asegurarse de que puedan infectar discretamente a las organizaciones y operar durante largos períodos de tiempo sin ser descubiertos”, explicó Bambenek.
Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, dijo que identificar y rastrear adecuadamente a los actores de amenazas estatales y patrocinados por el estado siempre presenta desafíos.
Parkin dijo que a menudo parecen ser amenazas criminales, usan las mismas herramientas y técnicas y, a menudo, persiguen los mismos objetivos. “La vinculación concluyente con un estado determinado a menudo requiere un análisis más profundo y una comprensión de sus motivos”, dijo Parkin. «SentinelOne, que publica ahora la información sobre un grupo APT que aparentemente ha estado activo durante casi una década y no aparece en otras listas, muestra lo difícil que es ‘estar seguro’ al identificar un nuevo actor de amenazas».
Jake Williams, director ejecutivo de inteligencia de amenazas cibernéticas en SCYTHE, agregó que no sorprende que los actores de amenazas continúen confiando en unidades extraíbles para propagar malware. Williams dijo que el secuestro de DLL también ha sido históricamente utilizado ampliamente por los actores de amenazas del estado-nación chino.
“El secuestro de DLL es una técnica que muchas plataformas de protección de puntos finales no logran identificar”, dijo Williams. «La mayoría de las detecciones de secuestro de DLL solo se identifican a través de la ingeniería de detección, lo que destaca la necesidad de una validación continua del control de seguridad».