Un actor de amenazas del estado-nación chino fue capturado realizando operaciones de ciberespionaje contra dos institutos de investigación de defensa rusos, utilizando correos electrónicos de phishing que suplantaban al Ministerio de Salud ruso y que contenían documentos maliciosos que explotaban las sanciones occidentales contra Rusia como cebo.
La campaña fue descubierta por analistas de amenazas en Check Point Research y atribuida a un actor del estado-nación chino. CPR señaló que la campaña se ha estado ejecutando desde el verano de 2021, mucho antes de que la crisis en Ucrania se convirtiera en una guerra, y el actor de amenazas empleó herramientas nuevas y previamente indocumentadas para evadir la detección.
El líder de investigación de CPR, Itay Cohen, dijo que la campaña tiene varias superposiciones con otras campañas chinas de ciberespionaje, como las dirigidas por APT10 (también conocido como Stone Panda, MenuPass y Red Apollo). y Mustang Panda (también conocido como TA416, Bronze President y Red Delta).
«Descubrimos una operación de espionaje en curso contra los institutos de investigación de defensa rusos realizada por actores de amenazas experimentados y sofisticados respaldados por China», dijo Cohen.
“Nuestra investigación muestra que esto es parte de una operación más grande que ha estado ocurriendo contra empresas afiliadas a Rusia durante aproximadamente un año. Hemos descubierto dos instalaciones de investigación de defensa específicas en Rusia y una instalación en Bielorrusia”.
El actor de amenazas utiliza algunas herramientas nuevas y previamente no documentadas para llevar a cabo sus intentos de intrusión, incluido un cargador de múltiples capas y una puerta trasera conocida como spinner. Para reflejar esta relativa sofisticación, los investigadores llamaron a la campaña Twisted Panda.
Dos de las víctimas conocidas pertenecen a una sociedad de cartera dentro del conglomerado de defensa estatal ruso Rostec, que se encuentra en la lista del Reino Unido de entidades sancionadas y se especializa en radioelectrónica, guerra electrónica y aviónica. Una tercera víctima en el estado títere ruso de Bielorrusia no fue nombrada.
Las líneas de asunto de los correos electrónicos incluyen «Lista de personas de
Al abrir los documentos adjuntos, el código malicioso se descarga del servidor controlado por el atacante para instalar y ejecutar sigilosamente un backdoor que les permite obtener datos sobre el sistema infectado. Estos datos se pueden usar para ejecutar otros comandos en el sistema.
“Quizás la parte más sofisticada de la campaña es el componente de ingeniería social. El momento de los ataques y los cebos utilizados son inteligentes. Desde un punto de vista técnico, la calidad de las herramientas y su ofuscación está por encima del promedio incluso para los grupos APT”, dijo Cohen.
«Creo que nuestros hallazgos son una prueba más de que el espionaje es un esfuerzo sistemático y a largo plazo al servicio de los objetivos estratégicos de China de lograr la superioridad tecnológica. En esta investigación, hemos visto cómo los atacantes chinos patrocinados por el estado están explotando la guerra en curso entre Rusia y Ucrania y utilizando herramientas avanzadas contra lo que se percibe como un socio estratégico: Rusia”, agregó.
