AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes chinos espían a millones mediante extensiones maliciosas en Chrome y Edge**

admin

### 1. Introducción

Una reciente investigación ha sacado a la luz una sofisticada campaña de ciberespionaje orquestada por un grupo de amenazas persistentes avanzadas (APT) con origen en China. Aprovechando la popularidad de las extensiones de navegador, los atacantes han distribuido complementos maliciosos en los marketplaces oficiales de Google Chrome y Microsoft Edge, logrando comprometer la privacidad y seguridad de millones de usuarios a nivel global. Este incidente pone en el punto de mira la seguridad de las plataformas de extensiones y la necesidad de una mayor vigilancia por parte de los equipos de ciberseguridad empresarial.

### 2. Contexto del Incidente

El grupo de amenazas, identificado por distintos vendors bajo los alias APT31 o «Zirconium», ha mantenido una actividad constante en el ciberespacio occidental durante los últimos años, con especial foco en espionaje corporativo y gubernamental. Según fuentes de threat intelligence, la campaña se habría iniciado a principios de 2024, coincidiendo con un aumento en la sofisticación de las técnicas empleadas por actores chinos en entornos cloud y SaaS.

El principal vector de entrada en esta campaña ha sido la distribución de extensiones aparentemente legítimas a través de los canales oficiales de Google Chrome Web Store y Microsoft Edge Add-ons. Estas extensiones, disfrazadas de herramientas de productividad o utilidades de navegación, lograron eludir los controles de seguridad de ambas plataformas durante semanas, alcanzando descargas estimadas en varios millones.

### 3. Detalles Técnicos

**Vulnerabilidades y CVE**
Aunque no se ha asociado la campaña a una vulnerabilidad concreta (CVE), los atacantes han explotado la confianza depositada en los marketplaces oficiales, lo que encaja en el vector de ataque T1195 («Supply Chain Compromise») del marco MITRE ATT&CK. Las extensiones maliciosas, tras su instalación, solicitaban permisos excesivos, como acceso a todas las páginas web visitadas, lectura y modificación de datos en tiempo real, y captura de entradas de teclado.

**Vectores de ataque y TTP**
– **Initial Access (TA0001):** Publicación de extensiones en marketplaces legítimos.
– **Execution (TA0002):** Ejecución automática en el navegador tras instalación.
– **Collection (TA0009):** Robo de credenciales, cookies de sesión y datos de formularios.
– **Exfiltration (TA0010):** Envío encubierto de los datos a C2 mediante conexiones HTTPS cifradas.

**Indicadores de Compromiso (IoC)**
– Dominios de C2 registrados recientemente en China y Hong Kong.
– Hashes de extensiones maliciosas (SHA256) compartidos por vendors de seguridad.
– Observación de tráfico inusual hacia endpoints no vinculados a la funcionalidad declarada de la extensión.

**Herramientas y frameworks**
Aunque no se han detectado payloads clásicos como Metasploit o Cobalt Strike, algunos módulos de las extensiones empleaban técnicas de obfuscación JavaScript avanzadas, similares a las vistas en campañas de espionaje previas atribuidas a APT31.

### 4. Impacto y Riesgos

El impacto de la campaña es significativo:
– **Usuarios afectados:** Entre 2 y 5 millones de descargas, con un porcentaje indeterminado de dispositivos activos comprometidos.
– **Datos sensibles:** Acceso y posible robo de credenciales corporativas, información de clientes, datos bancarios y tokens de autenticación.
– **Despliegue lateral:** Riesgo de movimiento lateral si los navegadores están sincronizados con cuentas corporativas o de G Suite/Microsoft 365.
– **Cumplimiento legal:** Exposición potencial a sanciones bajo GDPR y la inminente directiva NIS2, especialmente si hay fuga de datos personales de ciudadanos europeos.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión de extensiones instaladas:** Auditoría inmediata de las extensiones presentes en los navegadores corporativos y eliminación de cualquier complemento no autorizado.
– **Refuerzo de políticas de seguridad:** Uso de políticas de grupo (GPO) para limitar la instalación de extensiones, permitiendo únicamente aquellas aprobadas por el área de IT.
– **Detección y respuesta:** Monitorización de tráfico HTTP/HTTPS saliente para identificar conexiones a dominios IoC y uso de soluciones EDR especializadas en endpoints de usuario.
– **Concienciación y formación:** Campañas de sensibilización para advertir sobre los riesgos de instalar extensiones no verificadas, incluso desde marketplaces oficiales.
– **Actualización de listas negras:** Incorporación de hashes y dominios IoC a los sistemas de prevención y detección internos.

### 6. Opinión de Expertos

Especialistas en ciberseguridad como Enrique Serrano (Entelgy Innotec Security) subrayan la creciente sofisticación de los grupos APT chinos y la dificultad de distinguir extensiones maliciosas de las legítimas: “El abuso de canales oficiales eleva el riesgo, ya que muchas organizaciones confían en la seguridad perimetral de los marketplaces. Es crucial adoptar una mentalidad de Zero Trust también en el endpoint”.

Por su parte, investigadores de ThreatLabZ han resaltado la rápida reacción de Google y Microsoft para retirar las extensiones, pero advierten que los mecanismos de detección automatizada siguen siendo insuficientes frente a ataques dirigidos y bien financiados.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente refuerza la necesidad de revisar las políticas de seguridad en dispositivos de usuario y endpoints. Los navegadores, tradicionalmente considerados de bajo riesgo, se han convertido en objetivos prioritarios para los atacantes debido a su integración con servicios cloud y aplicaciones corporativas.

Los usuarios, tanto particulares como profesionales, deben extremar la precaución y priorizar la instalación de extensiones de desarrolladores verificados, revisando periódicamente los permisos concedidos y eliminando componentes innecesarios.

### 8. Conclusiones

La campaña atribuida a APT31 evidencia un cambio de paradigma en las amenazas a la cadena de suministro digital. El abuso de los marketplaces de extensiones pone en entredicho la seguridad inherente de estos entornos y obliga a empresas y administradores a reforzar los controles sobre el software en el puesto de trabajo. La vigilancia activa, la segmentación de permisos y la monitorización continua serán esenciales para anticipar y mitigar futuros incidentes de este tipo.

(Fuente: www.darkreading.com)