La seguridad cibernética ha evolucionado de un tema periférico a ser un pilar fundamental en las estrategias de seguridad nacional. Últimamente, la comunidad internacional ha puesto sus ojos en un colectivo de hackers asociados con China, debido a sus ataques dirigidos a las redes gubernamentales de Myanmar.
Se cree que Mustang Panda, un conocido grupo de ciberamenazas con base en China, ha enfocado sus esfuerzos en el Ministerio de Defensa y Asuntos Exteriores de Myanmar, lanzando campañas para instalar puertas traseras y troyanos de acceso remoto.
Según lo informado por CSIRT-CTI, estos ataques ocurrieron entre noviembre de 2023 y enero de 2024, con la detección de artefactos relacionados en la plataforma VirusTotal.
CSIRT-CTI destacó el uso de software legítimo por parte de Mustang Panda, incluyendo un binario de la empresa Bernecker & Rainer (B&R) y un componente del asistente de actualización de Windows 10, para distribuir bibliotecas de enlaces dinámicos (DLL) dañinas.
Activo desde 2012, Mustang Panda es conocido en el ámbito de la ciberseguridad también como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus y TEMP.Hex. Recientemente, se ha vinculado al grupo con ataques a un gobierno no identificado del sudeste asiático y a Filipinas, donde se implementaron puertas traseras para recopilar información sensible.
El método de infección en noviembre de 2023 inició con un correo electrónico de phishing adjuntando un archivo ZIP. Este archivo contenía un ejecutable legítimo ("Análisis de la tercera reunión de NDSC.exe"), firmado originalmente por B&R Industrial Automation GmbH, y un archivo DLL malicioso ("BrMod104.dll"). El ataque se basó en la vulnerabilidad del binario a la manipulación del orden de búsqueda de DLL para cargar el DLL nocivo, establecer persistencia, comunicarse con un servidor de comando y control (C2) y desplegar una puerta trasera conocida como PUBLOAD. Esta puerta trasera funciona como un cargador para instalar el implante PlugX.
Conoce más sobre: Publicidad maliciosa en Google apunta a usuarios de china
CSIRT-CTI reveló que los actores de amenazas camuflan su tráfico de comando y control [C2] imitando actualizaciones de Microsoft, utilizando encabezados como 'Host: www.asia.microsoft.com' y 'User-Agent: Windows-Update-Agent'. Esto recuerda a una campaña similar de mayo de 2023 reportada por Lab52.
Además, una segunda campaña detectada a principios de este mes utilizó una imagen de disco óptico ("ASEAN Notes.iso") con accesos directos LNK para iniciar un proceso complejo que emplea otro cargador, TONESHELL, para probablemente desplegar PlugX desde un servidor C2 oculto. Es relevante mencionar que EclecticIQ identificó un patrón de ataque parecido, atribuido a Mustang Panda en febrero de 2023, dirigido a entidades gubernamentales y del sector público en Asia y Europa.
CSIRT-CTI comentó sobre la preocupación de China respecto a los efectos de los ataques rebeldes en el norte de Myanmar en octubre de 2023, especialmente en lo que respecta a las rutas comerciales y la seguridad en la frontera entre Myanmar y China.
El informe concluyó que las operaciones de Mustang Panda, conocidas como Majestic Taurus, están alineadas con los intereses geopolíticos del gobierno chino, incluyendo numerosas operaciones de ciberespionaje contra Myanmar en el pasado.
Te podrá interesar leer: Análisis de Malware con Wazuh
El ataque contra las redes gubernamentales de Myanmar por parte de hackers vinculados a China es un recordatorio de la naturaleza cambiante de la seguridad nacional en la era digital. La ciberseguridad ya no es solo una cuestión de proteger la información, sino una parte integral de la estrategia de seguridad nacional de un país. Al entender las tácticas de los atacantes y adoptar una estrategia de defensa integral, las naciones pueden protegerse mejor contra las crecientes amenazas en el ciberespacio.
En un mundo cada vez más interconectado, la seguridad cibernética es una responsabilidad compartida. La cooperación internacional y el intercambio de conocimientos son esenciales para mantener la integridad y la seguridad de nuestras redes y sistemas. A medida que avanzamos, es crucial que continuemos desarrollando nuestras capacidades en ciberseguridad para salvaguardar nuestra infraestructura crítica y proteger nuestras democracias de actores malintencionados en el ciberespacio.