ESET, reconocido líder en la detección proactiva de amenazas, ha descubierto una serie de herramientas post-compromiso utilizadas por Evasive Panda para llevar a cabo ataques contra una entidad gubernamental y una organización religiosa en Taiwán durante el periodo de 2022 a 2023. Estas herramientas son capaces de recuperar datos de diversos servicios en la nube a través del uso de cookies de sesión robadas.
Evasive Panda (también conocido como BRONZE HIGHLAND, Daggerfly y StormBamboo) es un grupo de ciberespionaje alineado con China, activo desde al menos 2012. Su principal objetivo es el espionaje cibernético contra naciones y organizaciones que se oponen a los intereses de China, incluyendo movimientos independentistas de la diáspora tibetana, instituciones religiosas y académicas en Taiwán y Hong Kong, así como defensores de la democracia en China. Sus actividades de ciberespionaje también se han llevado a cabo en otros países como Vietnam, Myanmar y Corea del Sur.
Puntos clave de la investigación:
- Se detectó la herramienta CloudScout en Taiwán entre 2022 y 2023 en la red de una institución religiosa y en un organismo gubernamental.
- CloudScout utiliza cookies robadas, proporcionadas por la función MgBot, para acceder y extraer datos de varios servicios en la nube.
- ESET analizó tres módulos de CloudScout, que están diseñados para robar información de Google Drive, Gmail y Outlook, y se sospecha que hay al menos siete módulos adicionales en su arsenal.
- Las solicitudes web de CloudScout para robar correos electrónicos de Outlook indican que estas muestras fueron diseñadas específicamente para usuarios taiwaneses.
A inicios de 2023, ESET notó que Evasive Panda desplegaba tres módulos .NET nuevos (denominados internamente CGD, CGM y COL) en una entidad gubernamental en Taiwán. Estos módulos estaban diseñados para acceder a servicios públicos en la nube como Google Drive, Gmail y Outlook, mediante el secuestro de sesiones web autenticadas. Esta técnica se basa en el robo de cookies de los navegadores, las cuales se utilizan en un conjunto específico de solicitudes para obtener acceso a los servicios en la nube.
A diferencia de las credenciales robadas, que pueden ser bloqueadas mediante funciones de seguridad como la autenticación de dos factores, el uso de cookies de sesión robadas permite al atacante acceder a la información de la nube directamente desde la máquina víctima. En 2023, Google lanzó el proyecto Device Bound Session Credentials (DBSC) y en 2024 se introdujo la App-Bound Encryption en la actualización 127 de Chrome, medidas que buscan combatir el robo de cookies.
Un análisis más profundo del código de los módulos reveló un marco de desarrollo conocido como CloudScout, que según ESET, no había sido documentado públicamente hasta ahora. De acuerdo con la telemetría de ESET, CloudScout fue observado en dos incidentes en Taiwán: uno en mayo de 2022, donde la red de una institución religiosa fue comprometida, y otro en febrero de 2023, en lo que se sospecha que era una entidad gubernamental.
“Desde ESET hemos resaltado el diseño profesional que hay detrás del marco CloudScout para evidenciar las capacidades técnicas de Evasive Panda y el rol crucial que desempeñan los documentos almacenados en la nube, los perfiles de usuario y el correo electrónico en sus operaciones de espionaje”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Para más información sobre seguridad informática, visita el portal de noticias de ESET: ESET Noticias.
Con Información de osornoenlared.cl
