Evolución de las Tácticas de los Grupos Chinos de Amenazas Persistentes Avanzadas (APT) según Sophos

En un reciente análisis, la empresa de ciberseguridad Sophos detalló cómo han evolucionado las tácticas de los grupos chinos de amenazas persistentes avanzadas (APT) en los últimos cinco años. Desde diciembre de 2018 hasta noviembre de 2023, Sophos, en colaboración con otros proveedores de ciberseguridad, gobiernos y agencias de seguridad, ha monitoreado campañas de ciberataques dirigidos a sus clientes y atribuyó actividades a grupos chinos como Volt Typhoon, APT31 y APT41 (también conocido como Winnti). Los hallazgos de Sophos reflejan un cambio en las tácticas de estos grupos, quienes han pasado de realizar ataques masivos e indiscriminados a concentrarse en objetivos específicos de alto valor.

Colaboración Internacional para la Seguridad Cibernética

La investigación de Sophos responde a las solicitudes de entidades como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), quienes han instado a los desarrolladores de tecnología a brindar mayor transparencia sobre la escala y frecuencia de los ataques de adversarios patrocinados por el Estado, particularmente aquellos dirigidos a dispositivos de red de borde.

Este esfuerzo colaborativo es un recordatorio de la importancia de la cooperación internacional en la lucha contra el cibercrimen. Al compartir información, tanto el sector público como el privado pueden identificar patrones de amenazas, mejorar la detección y mitigar el impacto de los ataques. Sophos espera que otros proveedores sigan su ejemplo, fomentando una “resiliencia colectiva” para hacer frente a la sofisticación creciente de los ciberataques.

Cambios en las Estrategias de Ataque

Uno de los cambios más importantes observados por Sophos es el enfoque de los atacantes. A lo largo del período de análisis, los grupos chinos pasaron de ataques “ruidosos” y masivos a operaciones más dirigidas y sigilosas. Esta evolución tiene implicaciones significativas, ya que revela una mayor capacidad para identificar y explotar objetivos específicos en sectores críticos como infraestructuras, agencias gubernamentales y el sector salud.

Ataques Iniciales: Ruido y Agresividad

La primera actividad destacada por Sophos tuvo lugar en diciembre de 2018. Este ataque involucró a Cyberoam, una subsidiaria de Sophos en India, donde los atacantes lograron instalar un troyano de acceso remoto (RAT) en un dispositivo con pocos privilegios. Este ataque fue notable por el uso de un rootkit avanzado llamado Cloud Snooper y una técnica innovadora para infiltrarse en la nube mediante un AWS Systems Manager (SSM Agent) mal configurado. Este primer intento fue interpretado como una fase exploratoria para entender y recopilar inteligencia sobre las infraestructuras de red de las organizaciones objetivo.

Campañas de Explotación de Vulnerabilidades (2020-2022)

Desde principios de 2020 hasta gran parte de 2022, los atacantes chinos lanzaron una serie de campañas centradas en explotar vulnerabilidades de dispositivos de red expuestos a la WAN. Estas vulnerabilidades permitieron a los atacantes acceder a datos almacenados en los dispositivos comprometidos e incluso entregar malware persistente directamente en el firmware.

Lo interesante de esta fase es que estos ataques estaban relacionados con una red de investigación en vulnerabilidades en instituciones educativas de Chengdu, China. Sophos identificó a Sichuan Silence Information Technology y a la Universidad de Ciencia y Tecnología Electrónica de China como entidades implicadas. Se cree que estos hallazgos fueron compartidos con el gobierno chino y otras entidades para fomentar el desarrollo de herramientas de explotación avanzadas.

Transición hacia Ataques Dirigidos a Entidades Específicas

A mediados de 2022, los grupos de amenazas comenzaron a cambiar su estrategia, alejándose de los ataques masivos y enfocándose en entidades de alto valor, como agencias gubernamentales, infraestructuras críticas, organizaciones de investigación y proveedores de atención médica en la región del Indopacífico.

Esta nueva etapa de ataques dirigidos empleó tácticas avanzadas, técnicas y procedimientos (TTP) personalizados, adaptados a los sistemas específicos de las organizaciones. Los actores de amenazas preferían ejecutar comandos manualmente y desplegar malware de manera selectiva en los dispositivos comprometidos, en lugar de recurrir a automatización, lo que hacía que sus actividades fueran mucho más difíciles de detectar.

Técnicas Avanzadas de Ocultamiento y Persistencia

Sophos también notó un incremento en la eficacia de los grupos chinos para ocultar sus actividades de los sistemas de detección. Esto incluyó bloqueos específicos en la telemetría enviada desde los dispositivos comprometidos hacia Sophos, impidiendo que la empresa pudiera monitorear en tiempo real los movimientos de los atacantes. Además, estos grupos de amenazas mostraron una mejora en las prácticas de seguridad operativa, haciendo cada vez más difícil rastrear su rastro digital.

Un ejemplo de esto fue el descubrimiento de un rootkit avanzado diseñado para operar en un entorno sigiloso, lo cual permitía a los atacantes mantener el acceso a los sistemas comprometidos durante largos períodos. Sophos observó que los desarrolladores de exploits mejoraron sus técnicas para evitar la recopilación de telemetría por parte de Sophos y otras herramientas de detección, lo que demuestra un entendimiento profundo de la arquitectura interna de los dispositivos.

Reflexión Final de Sophos sobre la Sofisticación de los Ataques

El análisis de Sophos concluye que los adversarios chinos tienen acceso a recursos considerables, conocimientos técnicos avanzados y una capacidad de organización destacable. Según los investigadores, estos grupos han demostrado un compromiso con la actividad maliciosa que rara vez se ha visto en los casi 40 años de historia de la empresa. Este alto nivel de sofisticación plantea desafíos importantes para la seguridad global, especialmente para sectores críticos que requieren medidas de protección adicionales y colaboraciones internacionales sólidas.

Para fortalecer la defensa colectiva, Sophos hace un llamado a otros actores de la industria a seguir su ejemplo, compartiendo sus hallazgos y contribuyendo al desarrollo de una red global de ciberseguridad más sólida y resiliente.

#Ciberseguridad ? #APTChino ?? #Sophos ?️ #Malware ? #Ciberamenazas ? #Hackeo ? #InfraestructuraCrítica ?️ #Vulnerabilidades ? #TecnologíaSegura ? #AmenazaPersistente ?