El análisis llevado a cabo por la Unit 42 de la empresa de ciberseguridad revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales diferentes. "El atacante llevó a cabo grandes esfuerzos de recopilación de inteligencia a gran escala, utilizando técnicas inusuales de exfiltración de correos electrónicos contra servidores comprometidos", detalla el documento.
Gracias a la observación de los temas buscados por los atacantes, bajo esta operación -bautizada por los investigadores como 'Operation Diplomatic Spectre'-, Palo Alto Networks ha podido conocer "sus prioridades y su alineación con China". Se cree que este actor de amenazas sigue de cerca los acontecimientos geopolíticos contemporáneos e intenta filtrar información a diario.
En los casos observados, el modus operandi de este consistía en infiltrarse en los servidores de correo de los objetivos y buscar información en ellos. A su vez, al intentar frustrar varios esfuerzos de mitigación, demostró adaptabilidad y trató de mantener una presencia persistente en los entornos comprometidos mediante el uso de dos nuevas cepas de 'malware' no documentadas hasta entonces: SweetSpecter y TunnelSpecter.
Thank you for watching
Esta campaña se enfoca principalmente en asuntos geopolíticos actuales. Por tanto, el esfuerzo de recopilación incluía intentos de obtener información sensible y clasificada sobre las siguientes entidades: misiones diplomáticas y económicas, embajadas, operaciones militares, reuniones políticas, ministerios de los países objetivo y altos funcionarios
Según los expertos de la unidad de investigación, el continuo uso de los exploits de servidores Exchange (ProxyLogon CVE-2021-26855 y ProxyShell CVE-2021-34473) por parte del actor de amenazas para el acceso inicial, "subraya aún más la importancia de que las empresas refuercen los activos sensibles expuestos a Internet".