Hackers relacionados con el gobierno chino descubiertos operando un peligroso esquema de ransomware.

Investigadores de seguridad han detectado una actividad inusual por parte de un grupo de amenazas patrocinado por el estado chino, conocido como Emperor Dragonfly. Este grupo ha realizado un ataque de ransomware contra una empresa de software y servicios en Asia, demandando un rescate de 2 millones de dólares, cifra que se reduce a 1 millón si se paga en un plazo de tres días.

El equipo de caza amenazas de Symantec observó esta actividad a finales de 2024, cuando el grupo utilizó técnicas que generalmente emplea para el espionaje cibernético. Normalmente, sus ataques se dirigen a agencias gubernamentales de Europa del Este, utilizando archivos DLL maliciosos para establecer puertas traseras y mantener acceso persistente a las redes.

Sin embargo, en esta ocasión, el grupo implementó un cifrador de ransomware después de utilizar el mismo enfoque para infiltrar el sistema de la empresa asiática. Utilizó la variante de ransomware RA World, lo que marca un cambio significativo en su modus operandi, ya que este tipo de tácticas suele ser más común en actores norcoreanos, quienes financian sus operaciones estatales a través del ransomware.

Es posible que el ataque de ransomware fuera una táctica de distracción para encubrir una operación de espionaje más amplia. Aunque no se divulgó el vector inicial del ataque, se confirmó que los atacantes aprovecharon una vulnerabilidad conocida en PAN-OS de Palo Alto (CVE-2024-0012). Posteriormente, obtuvieron credenciales administrativas desde la intranet de la empresa y robaron credenciales de la nube de Amazon S3 desde su servidor Veeam, antes de realizar el cifrado de los dispositivos.

Para llevar a cabo el ataque, realizaron un procedimiento similar al que han usado habitualmente, mediante la técnica de side-loading de DLL.