Desde inicios del presente año, ha sido detectado por Proofpoint, compañía referente en ciberseguridad y en el cumplimiento de normativas, un notable incremento en la distribución de malware a través de correos electrónicos que emplean señuelos escritos en chino, tal y como hemos leído en Opensecurity. Dentro de las amenazas detectadas se encuentra el troyano de acceso remoto (RAT) denominado Sainbox, que se identifica como una variante del ya conocido Gh0stRAT, y el recientemente descubierto malware ValleyRAT.
Estos correos electrónicos, por lo general, abordan temáticas empresariales, como facturas, nuevos productos y pagos. Los destinatarios principales de estos ataques son usuarios que hablan chino y cuyos nombres están registrados con caracteres propios del idioma, así como aquellos que tienen correos electrónicos de empresas globales con operaciones en China. No obstante, no solo se han circunscrito a China, ya que también se ha registrado una campaña en japonés dirigida a organizaciones del país nipón, lo que apunta a un posible ensanchamiento del radio de acción de estos ciberdelincuentes.
Un análisis detallado de las tácticas, técnicas y procedimientos empleados por estos malhechores en sus campañas de distribución de Sainbox RAT y ValleyRAT ha llevado a Proofpoint a determinar que, aunque tienen similitudes, no pueden ser atribuidos a un solo grupo de ciberdelincuentes. Esta diversidad indica que hay una tendencia emergente entre los actores de amenazas a emplear malware con temáticas chinas.
En cuanto a los modus operandi de estos grupos criminales, se ha registrado una amplia gama que va desde técnicas básicas hasta procedimientos relativamente intrincados. La estrategia más común consiste en correos que contienen direcciones URL que redirigen a los destinatarios a ejecutables comprimidos, que posteriormente instalan el malware en sus dispositivos. Sin embargo, no se limitan a este método, ya que también se han detectado envíos de archivos adjuntos en Excel y PDF que contienen enlaces similares.
El equipo de investigación de Proofpoint señala una alerta sobre este repunte: “El hecho de que estemos viendo un resurgimiento de una variante de Gh0stRAT, un troyano que ha estado presente desde hace más de 10 años, nos hace reflexionar sobre la persistencia de ciertas amenazas». Y agregan: «Si bien es común centrarse en las amenazas nuevas y más sofisticadas, es fundamental que las organizaciones no minimicen estas otras aparentemente más simples. Aunque el malware pueda ser antiguo, los ciberdelincuentes están en constante evolución y adaptan sus tácticas, haciendo que estos riesgos sigan siendo relevantes y peligrosos para las entidades”. Es una llamada a no bajar la guardia y seguir vigilantes frente a las amenazas cibernéticas, independientemente de su antigüedad o aparente simplicidad.
