Hackers patrocinados por China despliegan la herramienta “The Fog” para eludir la detección en campañas de ciberespionaje

**Introducción**

En las últimas semanas, equipos de respuesta a incidentes han detectado una nueva campaña de ciberespionaje altamente sofisticada atribuida a Niobium (también conocido como APT15 o Vixen Panda), un grupo patrocinado por el Estado chino. El grupo ha incorporado una herramienta inédita, denominada “The Fog”, a su arsenal, con el objetivo de evadir las capacidades de monitorización y detección de redes empresariales. Este avance muestra una clara evolución en las tácticas y técnicas de los actores estatales para realizar movimientos laterales y exfiltración de datos en entornos altamente vigilados.

**Contexto del Incidente**

Niobium es conocido por sus campañas dirigidas contra entidades gubernamentales, tecnológicas y de telecomunicaciones, especialmente en Europa y América del Norte. A partir de mayo de 2024, varios equipos de Threat Intelligence, incluyendo Microsoft Threat Intelligence Center (MSTIC) y firmas independientes, han observado la aparición de “The Fog” en campañas dirigidas a infraestructuras críticas y proveedores de servicios gestionados (MSP). El objetivo principal ha sido la obtención persistente de datos sensibles y la implantación de puertas traseras en redes de alto valor estratégico.

**Detalles Técnicos**

La herramienta “The Fog” es un malware de tipo proxy y tunneling que permite a los atacantes ocultar el tráfico malicioso dentro de flujos legítimos de red, dificultando su detección por sistemas IDS/IPS y soluciones EDR. La campaña ha explotado principalmente la vulnerabilidad CVE-2023-46604 (relacionada con Apache ActiveMQ, con CVSS 9.8), permitiendo ejecución remota de código y facilitando la introducción de “The Fog” en los sistemas comprometidos.

Una vez desplegado, “The Fog” establece canales encubiertos (covert channels) usando protocolos legítimos (HTTPS, DNS tunneling), y manipula el tráfico mediante técnicas de packet injection y obfuscation. Los atacantes han demostrado especial pericia en modificar firmas de red y variar frecuencias de beaconing, dificultando la correlación de eventos por parte de los analistas SOC.

En cuanto a TTPs, la campaña se alinea con las técnicas del framework MITRE ATT&CK, destacando:
– **TA0005: Defense Evasion** (T1036.005: Masquerading, T1027: Obfuscated Files/Information)
– **TA0007: Discovery** (T1016: System Network Configuration Discovery)
– **TA0011: Command and Control** (T1090: Proxy, T1071: Application Layer Protocol)

Indicadores de Compromiso (IoC) asociados incluyen hashes SHA256 de la herramienta, dominios C2 dinámicos y la detección de procesos inusuales en puertos no estándar (ejemplo: tráfico HTTPS en puertos 8081, 8443).

**Impacto y Riesgos**

La utilización de “The Fog” incrementa significativamente la dificultad de detectar movimientos laterales y actividad post-explotación. Según informes de incidentes, en al menos un 45% de los casos analizados, la actividad maliciosa permaneció indetectada durante más de 21 días. La capacidad de evasión permite la exfiltración masiva de datos confidenciales, exposición de credenciales y la implantación de persistencia avanzada en entornos híbridos (on-premise y cloud).

El impacto económico potencial es considerable, con estimaciones de daños superiores a los 50 millones de euros en pérdidas por robo de propiedad intelectual, sanciones regulatorias (GDPR, NIS2) y costes asociados a la remediación.

**Medidas de Mitigación y Recomendaciones**

Se recomienda aplicar de inmediato los siguientes controles:
– Parchear urgentemente sistemas vulnerables a CVE-2023-46604 y otras vulnerabilidades asociadas.
– Implementar detección avanzada de anomalías de red, analizando tráfico en puertos no convencionales y patrones de tunneling.
– Desplegar reglas YARA y firmas IDS específicas para “The Fog” y sus variantes.
– Revisar logs de autenticación y acceso privilegiado, buscando patrones de beaconing y conexiones a dominios C2 sospechosos.
– Segmentar redes críticas y limitar la exposición de servicios hacia Internet.
– Realizar ejercicios de Red Team que simulen técnicas de evasión similares para validar la eficacia de las defensas.

**Opinión de Expertos**

Expertos en ciberseguridad, como miembros del SANS Institute y de la comunidad FIRST, advierten que la aparición de herramientas como “The Fog” marca un punto de inflexión en la sofisticación del ciberespionaje estatal. “Estamos viendo una evolución desde el uso de malware genérico hacia herramientas tailor-made, diseñadas específicamente para eludir detecciones por inteligencia artificial y machine learning en entornos SOC”, señala un analista senior de amenazas.

**Implicaciones para Empresas y Usuarios**

Para las empresas, especialmente aquellas sujetas a regulaciones como GDPR y la nueva directiva NIS2, el riesgo de incumplimiento y sanciones por brechas de datos es elevado. Los MSP y proveedores cloud deben reforzar sus controles, ya que están siendo objetivos prioritarios para movimientos laterales. Se recomienda reforzar la formación de los equipos de respuesta y mantener actualizadas las capacidades de threat hunting.

**Conclusiones**

La aparición de “The Fog” en campañas de Niobium evidencia la continua sofisticación de los actores de amenazas patrocinados por estados. La evasión de defensas tradicionales exige una revisión de las estrategias de detección y respuesta, así como una adopción más amplia de Zero Trust y threat intelligence proactiva. La colaboración entre sectores y el intercambio de IoC en tiempo real serán claves para mitigar el impacto de estas amenazas.

(Fuente: www.darkreading.com)