El grupo organizado de ciberdelincuentes conocido como DEV-0147, patrocinado por el estado chino, está apuntando a entidades diplomáticas en América del Sur con el troyano de acceso remoto básico (RAT) ShadowPad, también conocido como PoisonPlug, indican en esta nota desde BTR Consulting.
Esta nueva campaña ha sido detectada y , como amenaza, representa una expansión notable de las operaciones de exfiltración de datos que se dirigían a agencias gubernamentales.
Esta banda de Ciberdelincuentes, DEV-0147, implementa ShadowPad, un RAT utilizada también por otras bandas con sede en China, para lograr persistencia y QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional.
Estos ataques de DEV-0147 en América del Sur incluyeron actividades post-explotación que involucran ataques a la infraestructura para reconocimiento y movimiento lateral y el uso de Cobalt Strike y exfiltración de datos, en estos casos se recomienda a las organizaciones que apliquen MFA autenticación multifactor.
Otros ataques
DEV-0147 no es el único agresor que utiliza ShadowPad. Otras organizaciones de ciberatacantes chinos están utilizando el malware para apuntar y atacar a servidores de Microsoft Exchange sin parches en diferentes países asiáticos.
Este ShadowPad ha evolucionado a partir del malware PlugX y, con frecuencia, es empleado por grupos adversarios chinos conectados con el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (EPL).
Este RAT “ShadowPad” ha sido implementado por grupos de amenazas afiliados a MSS y luego compartido con otros grupos de amenazas que operan en nombre de los comandos regionales.
El malware probablemente fue desarrollado por actores a BRONZE ATLAS y luego compartido con grupos de amenazas MSS y PLA alrededor de 2019.
Dada la variedad de grupos que aprovechan ShadowPad, todas las organizaciones que son objetivos probables para los grupos de amenazas chinos deben monitorear TTP, tácticas, técnicas y procedimientos asociados con este malware.
