AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Nueva APT china utiliza Group Policy para espiar redes gubernamentales en el Sudeste Asiático y Japón

admin

#### Introducción

En las últimas semanas, se ha detectado la actividad de un nuevo grupo de amenazas persistentes avanzadas (APT) alineado con intereses chinos, que ha desplegado técnicas sofisticadas para comprometer redes gubernamentales en el Sudeste Asiático y Japón. Este actor ha destacado por el uso innovador de políticas de grupo de Windows (Group Policy Objects, GPO) para facilitar la exfiltración de información sensible y el movimiento lateral de manera sigilosa y eficiente, eludiendo mecanismos tradicionales de defensa y monitorización.

#### Contexto del Incidente o Vulnerabilidad

El grupo, identificado preliminarmente como “Earth Krahang” por varias firmas de análisis de amenazas, comenzó sus operaciones a finales de 2023, intensificándose durante el primer semestre de 2024. Las campañas observadas han tenido como objetivo principalmente organismos gubernamentales, ministerios de relaciones exteriores y entidades de defensa en países como Tailandia, Vietnam, Indonesia, Malasia y Japón. El patrón de ataque sugiere objetivos de ciberespionaje, con un claro interés en información estratégica y diplomática.

La elección de utilizar GPO para desplegar cargas maliciosas representa una evolución significativa respecto a campañas previas de APTs chinos, que habitualmente se basaban en spear phishing, explotación de vulnerabilidades en servidores perimetrales y uso de malware personalizado.

#### Detalles Técnicos

**Vectores de Ataque y Tácticas Observadas**

El ataque comienza generalmente con la explotación de vulnerabilidades conocidas en servicios expuestos, especialmente Microsoft Exchange (CVE-2021-26855 ProxyLogon, CVE-2021-34473 ProxyShell) y dispositivos VPN de fabricantes como Fortinet y Pulse Secure. Una vez obtenido acceso inicial, los atacantes elevan privilegios locales mediante exploits como CVE-2023-23397 (vulnerabilidad de elevación de privilegios en Microsoft Outlook) y, posteriormente, comprometen cuentas con privilegios de administrador de dominio.

A continuación, el grupo utiliza las propias funcionalidades de Active Directory y GPO para distribuir scripts y binarios maliciosos a través de la red. Esto les permite desplegar herramientas de post-explotación directamente en los equipos de los usuarios, sin necesidad de ejecutar comandos remotos que puedan ser fácilmente detectados.

**Herramientas y Frameworks Utilizados**

Durante la fase de post-explotación se ha observado el uso de Cobalt Strike Beacon y variantes de ChinaChopper para el control remoto y persistencia. Para la exfiltración de datos y el movimiento lateral, el grupo utiliza scripts PowerShell inyectados vía GPO y backdoors personalizados que se ejecutan como tareas programadas o servicios del sistema.

El modelo de ataque se alinea principalmente con las siguientes tácticas y técnicas MITRE ATT&CK:
– TA0001 (Initial Access), TA0003 (Persistence), TA0008 (Lateral Movement).
– T1075 (Pass the Hash), T1059.001 (PowerShell), T1546.003 (Windows Service).
– T1482 (Domain Trust Discovery), T1003 (Credential Dumping).

**Indicadores de Compromiso (IoC)**

Entre los principales IoC identificados se encuentran:
– Scripts .ps1 firmados con certificados internos, desplegados vía GPO.
– Actividad anómala en SYSVOL y cambios no autorizados en políticas de grupo.
– Presencia de binarios personalizados en rutas como `C:WindowsSystem32GroupPolicyMachineScriptsStartup`.
– Comunicación saliente cifrada hacia dominios de comando y control (C2) en infraestructuras VPS ubicadas en Hong Kong y Taiwán.

#### Impacto y Riesgos

El uso de GPO como vector de ataque amplifica el riesgo de compromiso total de la red, ya que permite la ejecución simultánea de código malicioso en decenas o cientos de equipos gestionados por Active Directory. Se estima que, en los incidentes detectados, al menos un 60% de los equipos de las redes afectadas han ejecutado cargas maliciosas distribuidas por los atacantes.

El impacto potencial incluye:
– Robo masivo de credenciales y documentos confidenciales.
– Despliegue de puertas traseras persistentes en toda la infraestructura.
– Riesgo de interrupción de servicios críticos y sabotaje interno.
– Grave exposición a sanciones regulatorias bajo marcos como GDPR y la directiva NIS2, en caso de exfiltración de datos personales o estratégicos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de ataques, los equipos de seguridad deben:
– Monitorizar y auditar todos los cambios en GPO y SYSVOL, utilizando soluciones SIEM y EDR con reglas específicas para detección de scripts y binarios anómalos.
– Limitar el número de cuentas con privilegios de administración de dominio y aplicar el principio de privilegios mínimos.
– Segmentar las redes y restringir los permisos de GPO a roles estrictamente necesarios.
– Aplicar actualizaciones críticas en servidores Exchange, VPN y sistemas de autenticación.
– Implementar autenticación multifactor y fortalecer la gestión de contraseñas.
– Realizar análisis forenses ante cualquier incidente de seguridad relacionado con cambios en GPO.

#### Opinión de Expertos

Según varios analistas de amenazas consultados, el uso de GPO para la distribución de malware representa una evolución preocupante en la sofisticación de los grupos APT chinos. “Estamos viendo un aprovechamiento avanzado de las propias herramientas de administración de Windows, lo que dificulta enormemente la detección y contención en entornos complejos”, señala Javier Bernal, responsable de Threat Intelligence en una multinacional de ciberseguridad.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones públicas y privadas, este tipo de campañas destaca la necesidad de una defensa en profundidad y de robustecer los procesos de gestión de identidades y accesos. La confianza ciega en los controles internos de Active Directory ya no es suficiente; es esencial auditar y supervisar de manera continua la integridad de las políticas de grupo y los cambios en la infraestructura.

#### Conclusiones

La aparición de este nuevo grupo APT chino y su innovador uso de Group Policy para la distribución de malware subraya la importancia de mantener una postura proactiva en la defensa de redes críticas. Las organizaciones deben reforzar sus controles de administración, actualizar sus sistemas y formar a sus equipos frente a estas tácticas avanzadas, que marcan un claro cambio de paradigma en la ciberamenaza estatal.

(Fuente: www.darkreading.com)