Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Ciberataques Evasive Panda: Los tibetanos en el punto de mira
Wajahat Raja
22 de marzo de 2024 - Equipo de expertos TuxCare
Expertos en ciberseguridad de ESET se han topado con una campaña maliciosa que se dirige a tibetanos de muchos países aprovechando el sitio web de una reunión religiosa. Los ciberataques Evasive Panda están asociados a un actor de amenazas persistentes avanzadas (APT) vinculado a China.
La noticia se produce días después de que amenaza de ciberseguridad MoqHao que también se vinculó a piratas informáticos chinos pertenecientes a Roaming Mantis. El sitio web del Festival Monlam, el acontecimiento religioso anual, se vio comprometido al añadirse código malicioso para crear un ataque de riego. El público objetivo del ciberataques de Evasive Panda se encontraba en Hong Kong, India, Australia, Taiwán y Estados Unidos.
En este artículo, entraremos en detalle de los ataques de watering hole y ciberataques a la cadena de suministro por parte de Evasive Panda y las técnicas de ciberespionaje utilizadas por este actor de amenazas persistentes avanzadas (APT).
Panda evasivo Fondo
Evasive Panda lleva en escena desde 2012. Este grupo de amenazas persistentes avanzadas (APT) está vinculado al gobierno chino y ha llevado a cabo varios ataques contra entidades gubernamentales de Filipinas, Taiwán, Myanmar y Vietnam. Estos ciberataques de Evasive Panda se alinean con los intereses geopolíticos de China.
Técnicas de ciberespionaje de Evasive Panda
La campaña de ciberespionaje comenzó el pasado septiembre y se dirige a los tibetanos con un software de traducción de idiomas corrupto. Este software es compatible tanto con Windows como con macOS. Además del software, estos ciberataques también incluyen el ataque al sitio web de una reunión religiosa que se celebra en la India todos los años.
La razón por la que los investigadores pudieron vincular los ciberataques a hackers vinculados a China es que las tácticas de malware de Evasive Panda coincidían con sus anteriores ataques a redes en Asia Oriental. Según los investigadores, la intención de Evasive Panda era aprovechar el festival Monlam que se celebra en Bodhgaya, India.
Se descubren los ciberataques evasivos del Panda
Evasive Panda también atacó y puso en peligro un programa de traducción al tibetano desarrollado por una empresa de software india. El objetivo final de estos ataques es desplegar una puerta trasera llamada MgBot o Nightdoor a través de descargadores maliciosos.
Los expertos en ciberseguridad de ESET afirmaron que al menos tres sitios web fueron atacados y comprometidos por los atacantes de Evasive Panda con el fin de llevar a cabo ciberataques a la cadena de suministro y ataques de watering hole.
Dos ejecutables se utilizan como plataformas de lanzamiento para ciberataques evasivos Panda: "certificate.exe" para Windows y "certificate.pkg" para macOS. Estos ejecutables ayudan a cargar el implante Nightdoor que abusa de la API de Google Drive. El backdoor tiene la capacidad de recopilar información y realizar operaciones con archivos.
Conclusión
Los ciberataques aumentan y se hacen más complejos cada día que pasa y los ciberataques Evasive Panda son los últimos de la lista. Caer presa de este tipo de ciberataques puede tener consecuencias drásticas, como daños reputacionales y monetarios. Por ello, se recomienda a las organizaciones que apliquen medidas proactivas de ciberseguridad para protegerse de estos ataques y mejorar su seguridad.
Las fuentes de este artículo incluyen artículos en The Hacker News y The Record.
