Los ciberdelincuentes han agregado otra herramienta legítima a su arsenal, advierten los investigadores de seguridad, pero esta vez, se está abusando de un proyecto líder de código abierto de Google.
Los investigadores de seguridad cibernética del Threat Analysis Group (TAG) de Google revelaron recientemente (se abre en una pestaña nueva) ese actor de amenazas patrocinado por el estado chino conocido como APT41 está utilizando la herramienta de equipo rojo Google Command and Control (GC2) mientras atacan organizaciones en todo el mundo.
TAG generalmente investiga actores patrocinados por el estado, y ATP41 es un actor de amenazas conocido sobre el que hemos estado informando durante los últimos tres años. Al parecer lleva activo desde 2014, y en ese tiempo diferentes grupos de investigación en ciberseguridad le dieron distintos nombres: HOODOO, BARIUM, Winnti, BlackFly, entre otros.
China ataca de nuevo
GC2 es el proyecto de código abierto de Google diseñado para actividades de equipos rojos. El equipo rojo se refiere a la práctica de desafiar planes y sistemas de la misma manera que lo haría un actor de amenazas. Mediante los sistemas de equipos rojos, las organizaciones pueden superar los errores cognitivos, como el sesgo de confirmación, que a menudo puede dejar brechas en sus defensas de ciberseguridad.
«Este programa ha sido desarrollado para proporcionar un comando y control que no requiere ninguna configuración particular (como: un dominio personalizado, VPS, CDN, …) durante las actividades de Red Teaming», dice en el repositorio GitHub de GC2.
«Además, el programa interactuará solo con los dominios de Google (*.google.com) para dificultar la detección».
Según TAG, APT41 usó GC2 durante ataques de phishing contra dos objetivos, uno de los cuales es una empresa de medios en Taiwán.
«En octubre de 2022, Threat Analysis Group (TAG) de Google interrumpió una campaña de HOODOO, un atacante respaldado por el gobierno chino también conocido como APT41, que se dirigía a una organización de medios taiwanesa mediante el envío de correos electrónicos de phishing que contenían enlaces a un archivo protegido por contraseña alojado en Drive. ”, afirma el informe de la compañía.
«La carga útil era una herramienta de equipo rojo de código abierto llamada «Google Command and Control» (GC2)».
El segundo objetivo era un sitio web de búsqueda de empleo de Italia. Los investigadores afirman que APT 41 intentó usar la herramienta para implementar malware adicional para apuntar a los puntos finales. (se abre en una pestaña nueva)sin detallar qué malware, exactamente.
Vía: BleepingComputer (se abre en una pestaña nueva)