AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**APT Mustang Panda secuestra navegadores Chrome en redes nuevas para redirigir a sitios de phishing**

admin

### 1. Introducción

En las últimas semanas, se ha detectado una campaña avanzada de amenazas persistentes (APT) atribuida al grupo Mustang Panda, que está comprometiendo navegadores Google Chrome en el momento en que los dispositivos se conectan a nuevas redes. El objetivo es redirigir a las víctimas, sin su conocimiento, hacia sitios web de phishing cuidadosamente diseñados para el robo de credenciales y la instalación de malware adicional. Este artículo analiza, en profundidad y con enfoque técnico, los detalles de la operación, los vectores de ataque utilizados y las implicaciones para el ecosistema empresarial y los profesionales de la ciberseguridad.

### 2. Contexto del Incidente

Mustang Panda, también conocido como TEMP.Hex, Bronze President o HoneyMyte, es un grupo APT de origen chino activo desde al menos 2017, conocido por sus campañas de ciberespionaje contra entidades gubernamentales, ONGs y empresas tecnológicas a nivel global. Su actividad se ha intensificado en el último año, aprovechando vulnerabilidades en software ampliamente utilizado y recurriendo a técnicas de ingeniería social sofisticadas.

La campaña actual destaca por su enfoque en el navegador Chrome, que ostenta a día de hoy más del 65% de cuota de mercado a nivel global, y por atacar específicamente el momento de conexión a nuevas redes Wi-Fi, donde los controles de seguridad suelen ser más laxos y los usuarios bajan la guardia.

### 3. Detalles Técnicos

La operación de Mustang Panda explota principalmente la función de detección de portal cautivo de Chrome, que se activa automáticamente cuando el navegador detecta una nueva red y trata de verificar la conectividad. Los investigadores han observado que el grupo manipula la respuesta DNS o intercepta el tráfico HTTP(S) mediante ataques de tipo Man-in-the-Middle (MitM), aprovechando configuraciones inseguras en routers o puntos de acceso Wi-Fi públicos y empresariales mal protegidos.

**Vectores de ataque identificados:**

– **Manipulación DNS:** Al conectarse a una nueva red, el atacante fuerza respuestas DNS maliciosas para dominios utilizados por Chrome en la comprobación de conectividad (como `connectivitycheck.gstatic.com`), redirigiendo al usuario a un portal falso.
– **Proxy ARP y Spoofing de DHCP:** Mustang Panda utiliza herramientas como Bettercap y Metasploit para realizar ataques de spoofing dentro de la red local, asignando gateways maliciosos y reescribiendo rutas.
– **Certificados autofirmados:** Para evadir advertencias de seguridad, el grupo emplea certificados TLS autofirmados y técnicas de SSL stripping. Se han identificado IoC relacionados con certificados y dominios falsos, documentados en plataformas como VirusTotal y ThreatFox.
– **TTPs (MITRE ATT&CK):**
– **T1557 (Adversary-in-the-Middle):** Intercepción del tráfico mediante manipulación de red local.
– **T1204 (User Execution):** Uso de ingeniería social para inducir la interacción con portales de phishing.
– **T1071 (Application Layer Protocol):** Comunicación encubierta con infraestructuras C2 tras la infección.
– **CVE relevantes:** Aunque la campaña no explota un CVE específico de Chrome, aprovecha la falta de segmentación y seguridad en redes Wi-Fi y la función de portal cautivo del navegador.

**Indicadores de compromiso (IoC):**
– Dominios falsificados imitando portales de autenticación.
– Certificados autofirmados detectados en logs de TLS/SSL.
– Direcciones IP internas inusuales actuando como gateways.

### 4. Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente para empleados que viajan y se conectan a redes públicas o empresariales poco seguras. Los riesgos principales incluyen:

– **Robo de credenciales corporativas y personales**, facilitando accesos no autorizados a servicios cloud, VPNs y sistemas internos.
– **Despliegue de malware adicional** mediante descargas drive-by o scripts maliciosos inyectados en los portales falsos.
– **Compromiso de infraestructuras empresariales** si los atacantes logran pivotar desde equipos infectados hacia la red interna.
– **Exposición a sanciones regulatorias** por incumplimiento de GDPR o NIS2, ante fugas de datos personales o incidentes de seguridad no reportados.

Según estimaciones de diferentes CSIRTs europeos, hasta un 12% de los incidentes en entornos BYOD están relacionados con ataques en redes Wi-Fi públicas o mal segmentadas.

### 5. Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben considerar las siguientes acciones para reducir la superficie de ataque:

– **Desactivar o restringir la función de portal cautivo** en entornos empresariales, donde sea posible.
– **Implementar DNS seguro (DoH/DoT)** en endpoints y segmentar el tráfico de red.
– **Monitorizar logs de conexión y tráfico DNS** en busca de patrones anómalos, como gateways no habituales o certificados autofirmados.
– **Aplicar autenticación multifactor (MFA)** en todos los servicios críticos, eliminando así el valor de las credenciales robadas.
– **Concienciación y formación** para usuarios sobre los riesgos de conectarse a redes desconocidas y la detección de portales falsos.
– **Actualización de políticas de respuesta a incidentes** para incluir escenarios de ataques MitM y secuestro de navegador.

### 6. Opinión de Expertos

El Dr. Enrique Pérez, analista del CCN-CERT, advierte: “La tendencia a utilizar ataques MitM en redes públicas se está sofisticando. El enfoque sobre navegadores y portales cautivos demuestra una comprensión profunda de los hábitos digitales y puntos débiles de las defensas empresariales”. Por su parte, Marta Romero, CISO de una multinacional tecnológica, recalca: “La segmentación de red y el uso de VPNs corporativas robustas deben ser prioritarios. Ninguna política de seguridad puede dar por segura una red Wi-Fi por defecto”.

### 7. Implicaciones para Empresas y Usuarios

Empresas con políticas de teletrabajo o movilidad deben actualizar urgentemente sus controles de acceso y segmentación, además de reforzar la monitorización de endpoints. Los usuarios finales, especialmente aquellos con acceso a información sensible, deben evitar redes Wi-Fi abiertas y reportar cualquier comportamiento anómalo del navegador.

La campaña de Mustang Panda subraya la necesidad de adoptar un enfoque Zero Trust, donde ningún entorno de red se considera seguro por defecto, y la supervisión constante es clave para la detección temprana de amenazas.

### 8. Conclusiones

La sofisticación mostrada por Mustang Panda en el secuestro de sesiones de Chrome en redes nuevas representa un salto cualitativo en las técnicas empleadas por grupos APT. Refuerza la urgencia de revisar las políticas de acceso a red, la capacitación de los usuarios y la inversión en tecnologías de monitorización y segmentación. La protección efectiva frente a estas amenazas requiere acción coordinada entre departamentos de IT, seguridad y usuarios finales, además del cumplimiento estricto de normativas como GDPR y NIS2.

(Fuente: www.darkreading.com)