La Unit 42 de Palo Alto Networks, empresa líder del sector de la ciberseguridad en todo el mundo, presenta un nuevo informe que detecta y detalla la actividad de un grupo chino de amenazas persistentes avanzadas (APT por sus siglas en inglés). Este grupo lleva a cabo una campaña en curso que se ha denominado Operation Diplomatic Specter. Según la Unit 42, esta operación ha estado dirigida a entidades políticas en Medio Oriente, África y Asia desde finales de 2022.

La unidad de investigación de Palo Alto Networks evaluó la orquestación de la Operation Diplomatic Specter por parte de un actor de amenazas con intereses alineados con el estado chino. El análisis de la actividad de este actor de amenazas revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales diferentes. El atacante llevó a cabo grandes esfuerzos de recopilación de inteligencia a gran escala, utilizando técnicas inusuales de exfiltración de correos electrónicos contra servidores comprometidos.

Gracias a la observación de los temas buscados por los atacantes, los investigadores de Unit 42 han podido conocer sus prioridades y su alineación con el gigante asiático. Las tácticas observadas como parte de esta campaña muestran el grado en que los actores de amenazas intentan reunir información sobre asuntos más allá de la región, extendiéndose incluso a Medio Oriente y África.

Se cree que este actor de amenazas sigue de cerca los acontecimientos geopolíticos contemporáneos e intenta filtrar información a diario. En los casos observados, el modus operandi de este consistía en infiltrarse en los servidores de correo de los objetivos y buscar información en ellos. A su vez, al intentar frustrar varios esfuerzos de mitigación, demostró adaptabilidad y trató de mantener una presencia persistente en los entornos comprometidos mediante el uso de dos nuevas cepas de malware no documentadas hasta entonces: SweetSpecter y TunnelSpecter.

Esta campaña se enfoca principalmente en asuntos geopolíticos actuales. Por tanto, el esfuerzo de recopilación incluía intentos de obtener información sensible y clasificada sobre las siguientes entidades:
· Misiones diplomáticas y económicas
· Embajadas
· Operaciones militares
· Reuniones políticas
· Ministerios de los países objetivo
· Altos funcionarios

Según los expertos de la unidad de investigación, el continuo uso de los exploits de servidores Exchange (ProxyLogon CVE-2021-26855 y ProxyShell CVE-2021-34473) por parte del actor de amenazas para el acceso inicial, subraya aún más la importancia de que las empresas refuercen los activos sensibles expuestos a Internet. Especialmente de cara a reducir la superficie de ataque y maximizar los esfuerzos de protección de vulnerabilidades conocidas y prominentes.

Para poder defenderse ante este tipo de ataques, los clientes de Palo Alto Networks están mejor protegidos gracias a:
· Seguridad de la red: proporcionada a través de un firewall de próxima generación (NGFW) configurado con servicios de seguridad habilitados por machine learning y entregados en la nube. Esto incluye la prevención de amenazas avanzadas, filtrado avanzado de URL, seguridad DNS; así como WildFire, un motor de protección contra malware capaz de identificar y bloquear muestras e infraestructuras maliciosas.
· Automatización de seguridad: a través de una solución Cortex XSOAR o XSIAM capaz de proporcionar a los analistas de SOC una comprensión integral de la amenaza derivada de la recopilación de datos obtenidos de endpoints, red, nube y sistemas de identidad.
· Protección anti-explotación:a través de Cortex XSIAM y capaz de brindar protección contra la explotación de diferentes vulnerabilidades, incluidas ProxyShell y ProxyLogon.
· Seguridad en la nube:la integración de Prisma Cloud Compute y WildFire puede ayudar a detectar y prevenir la ejecución maliciosa del backdoor Specter dentro de la infraestructura en la nube basada en Windows, contenedores y sin servidor.

En definitiva, la compañía de ciberseguridad indica que las organizaciones que disponen de información sensible deben prestar especial atención a las vulnerabilidades comúnmente explotadas. También deben adherirse a las mejores prácticas en cuanto a higiene de TI, ya que este tipo de APT a menudo busca obtener acceso mediante métodos que han resultado efectivos anteriormente.