Durante esta campaña de phishing entre julio y agosto de este año, TA415 lanzó una cadena de infección que intentaba establecer un túnel remoto de Visual Studio (VS Code) a través de la que obtendría acceso remoto persistente sin usar malware convencional. Los investigadores de Proofpoint señalan que el grupo empleó sistemáticamente servicios legítimos para el comando y control, como Google Sheets, Google Calendar y VS Code Remote Tunnels, en un esfuerzo por mezclarse con el tráfico existente hacia estos servicios de confianza.
Con anterioridad, el grupo TA415 utilizó una cadena de infección muy similar a la empleada para distribuir Voldemort, pero esta vez para entregar VS Code Remote Tunnels mediante un loader de Python ofuscado rastreado como WhirlCoil. Esta actividad tuvo en el punto de mira a organizaciones de los sectores aeroespacial, químico, seguros y fabricación.
“Con regularidad, los ciberdelincuentes proestado suplantan la identidad de personas para explotar la confianza y la credibilidad vinculadas a sus perfiles públicos. Estos correos electrónicos de phishing suelen contener enlaces a archivos protegidos con contraseña alojados en servicios públicos de intercambio de archivos en la nube”, explica el equipo de investigación de amenazas de Proofpoint.
Según las acusaciones del Gobierno de Estados Unidos, TA415 opera como contratista privado con sede en Chengdu (China) bajo el nombre comercial Chengdu 404 Network Technology. Este grupo mantiene históricamente relaciones comerciales con otros contratistas privados activos en el ecosistema de ciberespionaje de China. Los miembros acusados afirmaron tener vínculos con el servicio de inteligencia civil extranjero de China. Proofpoint atribuye esa actividad a TA415 con un alto grado de confianza, basándose en múltiples coincidencias independientes con la infraestructura conocida de este grupo; las tácticas, las técnicas y los procedimientos utilizados, así como los patrones de ataque alineados con los intereses del Estado chino.
“Muchas de las entidades objetivo de TA415 coinciden con las prioridades conocidas de la inteligencia china en materia de recopilación de información. Sin embargo, es especialmente notable el cambio que ha dado este grupo hacia estos objetivos en medio de la compleja evolución de las relaciones económicas y de política exterior entre China y Estados Unidos, demostrando su capacidad de adaptación”, apuntan desde Proofpoint.