El equipo de investigación de ciberseguridad de Proofpoint ha publicado un nuevo informe sobre amenazas en el que identifica a un grupo de hackers chinos que ha intensificado su actividad contra entidades en Europa durante la escalada bélica en Ucrania, poniendo en marcha campañas de emails maliciosos para distribuir malware.
Mientras se intensifica la guerra en Ucrania, un grupo de hackers alineados con China pone su objetivo en las instituciones europeas.
Este grupo de hackers llamada TA416, es conocido por haber declarado su cercanía ideológica con china, las autoridades han estado siguiente desde el 202 los movimientos de esta banda dándose cuenta del notable aumento del número de taques desde que el conflicto entre Rusia i ucraina empezó.
El grupo también llamado RedDelta recientemente consigui acceso a la dirección de correo de un diplomático de la OTAN, el cual utilizaron para enviar mensajes a oficinas diplomáticas de distintos países.
Las campañas de TA416 han utilitzado bugs para realizar perfiles de sus víctimas con el objetivo de que los ataques de malware fueran lo más eficientes posibles, facilitando así que las victimas cayeran en la trampa de abrir los emails con contenido de ingeniería social.
Las campañas incluyen enlaces maliciosos y documentos relacionados con los movimientos fronterizos de los refugiados ucranianos con el objetivo de hacer llegar a las víctimas un malware llamado PlugX.
“El uso de la técnica de reconocimiento con web bugs sugiere que TA416 está siendo más exigente en cuanto a los objetivos que elige para entregar las cargas útiles de malware”, comentan los investigadores de Proofpoint. “Históricamente, el grupo enviaba las URLs de bugs web junto con las URLs de malware para confirmar su recepción. En 2022, el grupo comenzó a trazar primero el perfil de los usuarios para enviar luego las URLs de malware. Esto puede ser un intento de TA416 de evitar que sus herramientas maliciosas sean descubiertas y divulgadas. Al reducir el objetivo de las amplias campañas de phishing para centrarse en objetivos que han demostrado ser activos y estar dispuestos a abrir los correos electrónicos, TA416 aumenta sus posibilidades de éxito a la hora de hacer un seguimiento de las cargas útiles de malware”.
