El grupo de hackers APT41, también conocido como Winnti, Barium o Double Dragon, ha estado dirigiendo una operación de espionaje masivo en nombre de Pekín desde 2019 hasta la actualidad. También se sabe que los piratas informáticos han apuntado a la industria de los videojuegos, inyectando malware en algunos títulos de primera línea. En agosto, la empresa de ciberseguridad Group-IB detectó nuevas actividades del grupo, informa El Noticias Hacker. Se cree que sus últimos ataques han afectado a 13 organizaciones de todo el mundo durante 2021.
Ataques multisectoriales
Estados Unidos, China, India, Vietnam y Taiwán son algunos de los países en los que las organizaciones han sido objeto de ciberataques de APT41. Según Group-IB, los sectores de la salud, la logística, la educación, la aviación y los medios de comunicación se han visto afectados. En particular, Air India fue atacada en junio de 2021, un año después de las disputas fronterizas entre India y China, en un asalto con el nombre clave de ColumnTK. Se han detectado otras tres grandes oleadas de ataques: DelayLinkTK, Mute-Pond y Gentle-Voice.
Los hackers de APT41 tienen métodos bien definidos para llevar a cabo sus ataques. Utilizan principalmente el phishing y aprovechan las vulnerabilidades de los sistemas objetivo. El grupo lleva a cabo ataques «watering hole», en los que se engaña a los usuarios para que infecten un sitio que visitan con frecuencia. También llevan a cabo ataques a la cadena de suministro, en los que primero atacan a los proveedores de una empresa y luego la atacan directamente.
Según Group-IB, la metodología de APT41 es inusual. Utiliza una táctica que permite que los ataques del grupo pasen casi desapercibidos. Para ello, los hackers inyectan consultas SQL, un lenguaje informático utilizado para manejar bases de datos, en los nombres de dominio objetivo. De este modo, se infiltran en las redes de las víctimas y difunden una etiqueta, llamada Cobalt Strike, en pequeños trozos para pasar desapercibidos. Es esta etiqueta la que introducirá el código malicioso y lo ejecutará.
El grupo de hackers buscó activamente
Group-IB dice que ha identificado 106 servidores únicos detrás de estas balizas Cobalt Strike entre 2020 y finales de 2021. Estos servidores se utilizan para comandar y controlar los ataques. » En el pasado, esta herramienta era popular entre las bandas de ciberdelincuentes que tenían como objetivo los bancos, mientras que hoy en día es popular entre una variedad de actores de amenazas cibernéticas, independientemente de su motivación, incluidos los infames operadores de ransomware «, detalló Nikita Rostovtsev, analista de Group-IB.
Para confirmar el origen de los atentados, Group-IB pudo determinar que tuvieron lugar entre las 9 y las 19 horas. La franja horaria corresponde al periodo de actividad de los hackers en países como Malasia, Singapur, partes de Rusia y, por supuesto, China, que se sospecha que está detrás de los ataques.
Algunos miembros del grupo de hackers son conocidos por las autoridades estadounidenses y se les busca activamente por haber realizado varios ataques en Estados Unidos. En aquella ocasión, uno de los hackers se jactó abiertamente de estar adscrito al Ministerio de Seguridad del Estado chino, lo que reforzó las sospechas de las autoridades estadounidenses.
