El grupo organizado de ciberdelincuentes conocido como DEV-0147, patrocinado por el estado chino, está apuntando a entidades diplomáticas en América del Sur con el troyano de acceso remoto básico (RAT) ShadowPad, también conocido como PoisonPlug.
Esta nueva campaña ha sido detectada y , como amenaza, representa una expansión notable de las operaciones de exfiltración de datos que se dirigían a agencias gubernamentales.
Esta banda de Ciberdelincuentes, DEV-0147, implementa ShadowPad, un RAT utilizada también por otras bandas con sede en China, para lograr persistencia y QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional.
Estos ataques de DEV-0147 en América del Sur incluyeron actividades post-explotación que involucran ataques a la infraestructura para reconocimiento y movimiento lateral y el uso de Cobalt Strike y exfiltración de datos, en estos casos se recomienda a las organizaciones que apliquen MFA autenticación multifactor.
DEV-0147 no es el único agresor que utiliza ShadowPad. Otras organizaciones de ciberatacantes chinos están utilizando el malware para apuntar y atacar a servidores de Microsoft Exchange sin parches en diferentes países asiáticos. Este ShadowPad ha evolucionado a partir del malware PlugX y, con frecuencia, es empleado por grupos adversarios chinos conectados con el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (EPL).
Este RAT “ShadowPad” ha sido implementado por grupos de amenazas afiliados a MSS y luego compartido con otros grupos de amenazas que operan en nombre de los comandos regionales.
El malware probablemente fue desarrollado por actores a BRONZE ATLAS y luego compartido con grupos de amenazas MSS y PLA alrededor de 2019. Dada la variedad de grupos que aprovechan ShadowPad, todas las organizaciones que son objetivos probables para los grupos de amenazas chinos deben monitorear TTP, tácticas, técnicas y procedimientos asociados con este malware.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |