Tabla de Contenidos
Introducción a la Operación Mustang Panda
El grupo de ciberespionaje chino conocido como Mustang Panda ha estado asociado con una serie de ataques altamente sofisticados y específicos dirigidos a entidades de asuntos exteriores europeos desde enero de 2023. Según los analistas de Check Point, Itay Cohen y Radoslaw Madej, estos ataques han revelado un implante de firmware personalizado creado específicamente para enrutadores TP-Link.
Mustang Panda
Detalles técnicos del implante de firmware
El implante de firmware consta de varios componentes maliciosos, incluyendo una puerta trasera personalizada conocida como ‘Horse Shell’. Este software malicioso permite a los atacantes mantener un acceso persistente, construir infraestructura anónima y facilitar el movimiento lateral en las redes comprometidas. Además, debido a su diseño independiente de firmware, los componentes del implante pueden ser incorporados en diferentes firmwares de varios proveedores.
Rastreo del grupo de amenazas y su modus operandi
La firma de ciberseguridad israelí está rastreando al grupo de amenazas bajo el nombre de Camaro Dragon, que también es conocido por otros nombres como Basin, Presidente de Bronce, Earth Preta, Honeymyte, Reddelta y Red Lich. Aún no se ha determinado con certeza el método que utilizan para implementar las imágenes de firmware manipuladas en los enrutadores infectados. Se presume que el acceso inicial podría haber sido obtenido mediante la explotación de vulnerabilidades de seguridad conocidas o por ataques de fuerza bruta a dispositivos con contraseñas predeterminadas o fácilmente adivinables.
El implante del trojano basado en C++ proporciona a los atacantes la capacidad de ejecutar comandos de shell arbitrarios, cargar y descargar archivos hacia y desde el enrutador, y la comunicación de retransmisión entre dos clientes diferentes. Pero en un giro intrigante, se sospecha que la puerta trasera del enrutador se dirige a dispositivos arbitrarios en las redes residenciales y domésticas, lo que sugiere que los enrutadores comprometidos están siendo cooptados en una red de malla con el objetivo de crear una «cadena de nodos entre las infecciones principales y comando y control».
La táctica de ocultación y el papel de los enrutadores comprometidos
Los atacantes oscurecen el origen y el destino del tráfico de una manera análoga a Tor, lo que dificulta la detección del alcance del ataque y su interrupción. «Si un nodo en la cadena se ve comprometido o eliminado, el atacante aún puede mantener la comunicación con el C2 enrutando el tráfico a través de un nodo diferente en la cadena», explicaron los investigadores.
Esta no es la primera vez que actores de amenazas afiliados a China han recurrido a una red de enrutadores comprometidos para cumplir con sus objetivos estratégicos. En 2021, la Agencia Nacional de Ciberseguridad de Francia (ANSSI) detalló un conjunto de intrusiones orquestadas por APT31 (también conocido como Juicio Panda o Typhoon Violet) que emplearon un malware avanzado conocido como Pakdoor (o Sowat) para permitir que los enrutadores infectados se comunicaran entre sí.
Tendencia creciente de la explotación de dispositivos de red
El reciente descubrimiento de la Operación Mustang Panda es otro ejemplo de la tendencia continuada de los actores de amenazas chinos a explotar dispositivos de red orientados a Internet y a alterar su software o firmware subyacente. Esta estrategia les permite mantener un acceso persistente a las redes comprometidas, así como ocultar sus actividades y esquivar las medidas de detección de las autoridades y las empresas de ciberseguridad.
Articulo Similar: Lancefly: La nueva amenaza cibernética en el sudeste asiático
Los comentarios están cerrados.