APT41
APT41, también conocida como Double Dragon, Brass Typhoon o Wicked Panda (y otros tantos dependiendo de la empresa que lo nombra), es una APT cuyo origen se ha atribuido al estado chino. Si bien su principal objetivo ha sido el espionaje, también ha realizado actividades con objetivo de conseguir fondos.
El grupo fue observado por primera vez en 2012, llevando a cabo ataques contra la industria de los videojuegos. Esta actividad no se corresponde con la forma de actuar de los grupos que forman parte del Estado chino, más tarde la actividad del grupo se alineó con este modus operandi, aproximadamente a partir de 2014. De acuerdo con Mandiant, el grupo realiza actividades centradas en generar ganancias financieras por interés propio y no de cara a los objetivos estatales, como hacen otras APT como Lazarus – este grupo realiza ataques con el propósito de conseguir fondos para el Estado de Corea del Norte.
En cuanto a sus operaciones patrocinadas por el Estado, estas se encuentran en línea con los planes quinquenales de desarrollo económico de China y, por lo tanto, se dirigen a sectores estratégicos. Durante estos ataques, el grupo se ha centrado tanto en el robo de propiedad intelectual (IP) como en recabar información sensible y establecer acceso a los sistemas que pueda ser utilizado posteriormente. Algunos de los sectores más impactados por el grupo:
- Sanidad
- Tecnológico
- Medios de comunicación
- Industria farmacéutica
- Empresas de software
- Telecomunicaciones
- Educación
- Monedas virtuales
- Videojuegos
Geográficamente, el grupo ha apuntado contra decenas de países, tanto en Europa como en APAC –por supuesto, Estados Unidos forma parte de esta lista.
El grupo es altamente sofisticado y, por lo tanto, para conseguir sus objetivos ha llevado a cabo distintas estrategias, como acceder a sus objetivos a través de terceros (Third-Party Access/Supply Chain Compromise) y emplear malware de carácter privado, específicamente creado por el grupo para ajustarse a sus necesidades. Algunos de sus ataques más relevantes son:
- Operación Shadowpad: Nombrado así por Kaspersky, tuvo lugar en julio de 2017. APT41 inyectó código malicioso en una actualización de software de NetSarang, una empresa conocida por su software de gestión de redes. La actualización estaba firmada con un certificado legítimo de NetSarang, por lo que era reconocido como fiable para los usuarios y fue capaz de evadir las soluciones de seguridad de la empresa. Afectó a cientos de empresas en todo el mundo; utilizó un algoritmo de generación de dominios (DGA) para su infraestructura de Comando y Control (C2). El uso de ShadowPad está exclusivamente atribuido a adversarios relacionados con el estado chino como Aquatic Panda y Vapor Panda.
- Operación Shadowhammer: En junio de 2018, el grupo llevó a cabo un ataque en el que consiguieron comprometer la herramienta ASUS Live Update utility, utilizada para actualizar el software y el firmware de los ordenadores ASUS. Esta operación, también nombrada así por Kaspersky, fue similar a Shadowpad. El grupo interactuó con una actualización de la herramienta que estaba firmada con un certificado digital legítimo de ASUS. Al inyectar código en ella, de igual manera que en Shadowpad, consiguió evadir los sistemas de seguridad. El malware, que afectó a más de 50.000 sistemas, solo estaba diseñado para activarse en unos determinados equipos, alrededor de 600. El grupo identificó estos equipos mediante su MAC, que era la que comprobaba el malware antes de desplegar el payload de segunda fase. Esto demuestra la alta sofisticación del grupo, que había llevado a cabo un reconocimiento previo de manera exhaustiva.
El grupo ha sido altamente prolífico en sus actividades y entre sus ataques destacan también los compromisos a TeamViewer, CCleaner, EA Games, un centro de investigación contra el cáncer o RIOT Games.
