Bronze President, el grupo de amenazas persistentes avanzadas (APT) respaldado por China que también se conoce con el nombre de Mustang Panda, ha estado realizando una campaña generalizada contra objetivos de interés para el espionaje chino, utilizando documentos que falsifican avisos diplomáticos oficiales para atraer a sus víctimas. .
Una serie de ataques observados por Secureworks Counter Threat Unit (CTU) que se desarrollaron durante junio y julio utilizaron un malware PlugX para apuntar a los sistemas informáticos de funcionarios gubernamentales en varios países de Europa, Medio Oriente y América del Sur.
“Varias características de esta campaña indican que fue realizada por el probable grupo de amenazas del presidente de bronce patrocinado por el gobierno chino, incluido el uso de PlugX, rutas de archivos y esquemas de nombres utilizados anteriormente por el grupo de amenazas, la presencia de shellcode en encabezados de archivos ejecutables, y documentos señuelo de temática política que se alinean con las regiones donde China tiene intereses”, dijo el equipo de CTU en su redacción.
PlugX es un tipo de malware modular que vuelve a llamar a un servidor de comando y control (C2) para tareas y, como tal, es capaz de descargar complementos adicionales para mejorar sus capacidades y funcionalidades más allá de la mera recopilación de información, lo que lo hace particularmente peligroso.
En la campaña del Presidente Bronce, llegó a sus objetivos incrustados en archivos RAR. Al abrir este archivo en un sistema Windows con la configuración predeterminada habilitada, se muestra un archivo de acceso directo de Windows (LNK) disfrazado de documento.
Junto a este acceso directo hay una carpeta oculta que contiene el malware, que está incrustado en ocho niveles de profundidad en una serie de carpetas ocultas nombradas con caracteres especiales. Es probable que esta táctica sea un medio para tratar de eludir las defensas de escaneo de correo electrónico que pueden no ver la ruta completa al escanear contenido. A su vez, dijo Secureworks, sugiere que el método de entrega es correos electrónicos de phishing, ya que no hay ningún otro beneficio real al hacer esto.
Para ejecutar el malware PlugX, el usuario debe hacer clic en el archivo LNK, lo que en última instancia conduce a la carga, el descifrado y la ejecución de la carga útil de PlugX. Durante este proceso, se descarta el documento señuelo, cuyo ejemplo se muestra a continuación.
El equipo de CTU dijo que los documentos de temática política sugerían que las actividades del presidente Bronce actualmente están dirigidas a funcionarios gubernamentales en varios países de interés para China.
En el ejemplo anterior, un funcionario turco recibe una notificación, supuestamente del gobierno británico, del nombramiento de un nuevo embajador (en el momento de escribir este artículo, Dominick Chilcott sigue siendo el embajador británico titular en Ankara). Al igual que otras campañas chinas recientes, el hecho de que Turquía tenga como objetivo probablemente refleje su importancia estratégica en la batalla en curso por Ucrania.
Ucrania ha sido un foco clave para el Presidente Bronce, que ha estado muy activo en 2022, apoyando la agenda de recopilación de inteligencia de China relacionada con la guerra. En mayo, Cisco Talos lo observó apuntando a entidades europeas y rusas, que también usaban PlugX, en una campaña similar que falsificó los informes de la Unión Europea sobre el conflicto.
“Bronze President ha demostrado su capacidad para adaptarse rápidamente a nuevas oportunidades de recopilación de inteligencia”, dijo el equipo de Secureworks. “Las organizaciones en regiones geográficas de interés para China deben monitorear de cerca las actividades de este grupo, especialmente las organizaciones asociadas u operando como agencias gubernamentales”.
Más información técnica sobre esta campaña, incluidos los indicadores de compromiso, está disponible en Secureworks.
