Site icon Panda Security Mediacenter

CactusPete APT : nuevos objetivos de espionaje militar y financiero

APT

A día de hoy el cibercrimen afecta a todo tipo de negocios, sea cual sea el sector en el que desarrolle la actividad. Este año, al aumento de la superficie de ataque debido al incremento del teletrabajo como medida para reducir los contagios por la Covid-19, se le añaden otros ciberriesgos derivados de la incertidumbre mundial. Los cibercriminales no dudan en aprovechar de manera activa este contexto para llevar a cabo campañas de phishing, propagar malware, explotar nuevas vulnerabilidades y disparar el número de ataques DDoS, entre otros; para poner en peligro la ciberseguridad de muchas empresas.

Cada organización puede constituir en algún momento un objetivo para los ciberatacantes. Hemos visto como el grupo APT llamado “Vicious Panda” lleva a cabo una campaña de spear phishing que utiliza la pandemia para propagar el malware del grupo. Y como decíamos, no solo el sector sanitario ha sido víctima de grupos organizados. Incluso las instituciones militares más avanzadas del mundo, como la agencia DISA (Defense Information Systems Agency) encargada de las comunicaciones para el Departameto de Defensa y para la Casa Blanca, informó el pasado mes de febrero que sufrió un importante ciberataque que comprometió los datos de hasta 200.000 funcionarios y personal militar.

Todos estos incidentes tienen consecuencias graves para las víctimas, desde daños reputacionales e interrupciones en la cadena productiva, llegando a paralizar el negocio y acarreando grandes pérdidas económicas. Y no cabe duda de que hay un sector especialmente vulnerable: las infraestructuras críticas y aquellos objetivos centrados en la defensa de un país, objetivos militares o diplomáticos, donde puede llegar a haber vidas humanas en juego.

Ahora CactusPete, un grupo APT con sede en China, salta a la palestra con una nueva campaña dirigida a objetivos militares y financieros en Europa del Este.

CactusPete: una APT más sofisticada en el tiempo

La APT con sede en China, conocida como CactusPete, ha regresado con una nueva campaña dirigida a objetivos militares y financieros en Europa del Este, lo que constituye una nueva geografía para la victimología del grupo, ya que históricamente su actividad parecía centrada en organizaciones dentro de un rango limitado de países: Corea del Sur, Japón, Estados Unidos y Taiwán. Ahora campañas del muestran que el grupo se ha desplazado hacia otras organizaciones de Asia y Europa del Este.

En esta ocasión ha mejorado su puerta trasera para atacar a organizaciones militares y financieras de Europa oriental y acceder a información confidencial. El grupo utilizó una nueva variante de la puerta trasera Bisonal, que permite a los atacantes robar información, ejecutar código en las máquinas de los objetivos y realizar movimientos laterales dentro de una red, según los investigadores de Kaspersky. Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta. Además, en esta última campaña de 2020 vemos como el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como la plataforma de ataque modular ShadowPad para lanzar ciberataques.

¿Cómo protejo mis sistemas de una APT?

 

Exit mobile version