Un montón de ciber espionaje conocido como Earth Ammith se ha vinculado a dos campañas relacionadas pero distintas de 2023 a 2024 dirigidas a varias entidades en Taiwán y Corea del Sur, incluidos militares, comparsa, industria pesada, medios, tecnología, servicios de software y sectores de atención médica.
La firma de ciberseguridad Trend Micro dijo que la primera ola, con nombre en código Venom, principalmente proveedores de servicios de software dirigidos, mientras que la segunda ola, conocida como Tidrone, destacó a la industria marcial. Se evalúa que la Tierra Ammit está conectada con los grupos de estado-nación de palabra china.
“En su campaña de Venom, el enfoque de Earth Ammith implicaba penetrar el segmento aguas en lo alto de la dependencia de suministro de drones”, dijeron los investigadores de seguridad Pierre Lee, Vickie Su y Philip Chen. “El objetivo a dadivoso plazo de Earth Ammith es comprometer las redes confiables a través de ataques de la dependencia de suministro, lo que les permite dirigirse a entidades de stop valía aguas debajo y amplificar su luces”.
La campaña de Tidrone fue expuesta por primera vez por Trend Micro el año pasado, detallando los ataques del clúster contra los fabricantes de drones en Taiwán para entregar malware personalizado como CXCLNT y Clntend. Un crónica posterior de AhnLab en diciembre de 2024 detalló el uso de Clntend contra las empresas surcoreanas.
Los ataques son notables para atacar a la dependencia de suministro de drones, aprovechando el software de planificación de medios empresariales (ERP) para violar las industrias militares y satelitales. Los incidentes seleccionados todavía han involucrado el uso de canales de comunicación confiables, como las herramientas de suministro de TI o monitoreo remoto, para distribuir las cargas efectos maliciosas.
La campaña de ponzoña, por tendencia micro, se caracteriza por la explotación de las vulnerabilidades del servidor web para eliminar los proyectiles web, y luego armarse el paso para instalar herramientas de paso remoto (RAT) para un paso persistente a los hosts comprometidos. El uso de herramientas de código franco como RevSock y Sliver en los ataques se considera un intento deliberado de ofuscar los esfuerzos de atribución.
El único malware a medida observado en la campaña de Venom es VenFrPC, una interpretación personalizada de FRPC, que, en sí misma, es una interpretación modificada de la útil de proxy de reverso rápido (FRP) de código franco.
El objetivo final de la campaña es cosechar credenciales de los entornos violados y usar la información robada como un trampolín para informar la próxima grado, Tidrone, dirigida a clientes aguas debajo. La campaña de Tidrone se extiende en tres etapas –
- Golpe auténtico, que refleja la campaña de Venom atacando a los proveedores de servicios para inyectar código pillo y distribuir malware a los clientes aguas debajo
- Comando y control, que utiliza un cargador DLL para soltar CXCLNT y Clntend Backdoors
- A posteriori de la explotación, que implica establecer persistencia, crecer privilegios, deshabilitar el software antivirus utilizando TruesightKiller e instalar una útil de captura de capturas de pantalla doblada ScreenCap usando Clntend
“La funcionalidad central de CXCLNT depende de un sistema de complementos modular. Tras la ejecución, recupera complementos adicionales de su servidor C&C para extender sus capacidades dinámicamente”, dijo Trend Micro. “Esta bloque no solo oscurece el cierto propósito de la puerta trasera durante el examen pasivo, sino que todavía permite operaciones flexibles y a pedido basadas en los objetivos del atacante”.
Se dice que CXCLNT se usó en ataques desde al menos 2022. Clntend, detectado por primera vez en 2024, es su sucesor y viene con un conjunto ampliado de características para evitar la detección.
La conexión entre Venom y Tidrone se deriva de víctimas compartidas y proveedores de servicios y una infraestructura de comando y control superpuesta, lo que indica que un actor de amenaza global está detrás de ambas campañas. Trend Micro dijo que las tácticas, técnicas y procedimientos (TTP) del equipo de piratería (TTPS) se asemejan a los utilizados por otro montón de piratería de estado nación chino rastreado como Dalbit (todavía conocido como M00nlight), lo que sugiere un kit de herramientas compartido.
“Esta progresión subraya una organización deliberada: comienza de amplio costo y herramientas de bajo peligro para establecer paso, luego pivote a capacidades personalizadas para intrusiones más específicas e impactantes”, dijeron los investigadores. “Comprender este patrón operante será crítico para predecir y defender contra futuras amenazas de este actor”.
Japón y Taiwán atacados por Swan Vector
La divulgación se produce cuando Seqrite Labs reveló los detalles de una campaña de ciber espionaje denominado Swan Vector que ha dirigido a los institutos educativos y a la industria de la ingeniería mecánica en Taiwán y Japón con señuelos de currículum falsos distribuidos a través de correos electrónicos de phishing de asta para entregar un implante DLL llamado Pterois, que luego se utiliza para descargar el Cobalt Strike Shellcode.
PTerois todavía está diseñado para descargar desde Google Drive Otro malware denominado Isurus que entonces es responsable de ejecutar el entorno de Cobalt Strike posterior a la explotación. La campaña ha sido atribuida a un actor de amenaza de Asia Uruguayo con confianza media.
“El actor de amenaza tiene su sede en el este de Asia y ha estado activo desde diciembre de 2024 dirigidos a múltiples entidades basadas en la contratación en Taiwán y Japón”, dijo el investigador de seguridad Subhajeet Singha.
“El actor de amenaza se sostén en el ampliación personalizado de implantes que comprenden descargadores, cargadores de shellcode y cobalto como sus herramientas secreto con un gran dependencia de las técnicas de esparcimiento múltiple como el hash de API, las calificaciones directas, la devolución de llamamiento de las funciones, la carga anexo de DLL y la autodeletión autodeinal
