El grupo de hackers chino “Blackwood” está espiando a personas y empresas en el Reino Unido, China y Japón utilizando una herramienta llamada NSPX30. El malware llega a los dispositivos de destino a través de actualizaciones de aplicaciones oficiales.
Los ciberdelincuentes siempre encuentran formas ingeniosas de obtener datos valiosos. Como descubrieron los investigadores de ESET, un grupo de hackers de China previamente desconocido está buscando datos utilizando una nueva herramienta llamada NSPX30. Lo especial: en lugar de infectar al usuario a través de archivos adjuntos de correo electrónico y sitios web maliciosos, llega a sus sistemas de destino a través de actualizaciones de aplicaciones oficiales. Desde 2018, “Blackwood”, como llama al grupo el equipo liderado por el investigador de ESET Facundo Muñoz, espía a personas y empresas en Reino Unido, China y Japón.
NSPX30 reenvía capturas de pantalla e información guardada
Una vez instalado el malware, inmediatamente comienza a recopilar datos y a transmitirlos a quienes están detrás de él. Esto incluye capturas de pantalla, información almacenada en el dispositivo y pulsaciones de teclas. Sin embargo, aún se desconoce el patrón de ataque exacto y cómo el grupo oculta su identidad:
"No sabemos exactamente cómo los atacantes pueden entregar NSPX30 como actualizaciones maliciosas, ya que aún no hemos descubierto la herramienta que utilizan los delincuentes para comprometer inicialmente sus objetivos", explica el investigador de ESET Facundo Muñoz, quien ejecuta NSPX30 y Blackwood. “Sin embargo, sospechamos que los atacantes están implementando el malware en las redes de sus víctimas instalándolo en dispositivos de red vulnerables, como enrutadores o puertas de enlace. Esto está respaldado por nuestra experiencia con actores de amenazas chinos similares, así como por investigaciones recientes sobre implantes de enrutadores atribuidos a otro grupo chino, MustangPanda”.
¿Quiénes son las víctimas de Blackwood?
Los objetivos del nuevo grupo de hackers incluyen personas no identificadas en China y Japón y una persona no identificada de habla china vinculada a la red de una prestigiosa universidad pública de investigación en el Reino Unido. En el punto de mira de Blackwood también se encuentran una gran empresa de producción y comercialización en China, así como sucursales de una productora japonesa con sede allí.
Como han observado los investigadores de ESET, no es fácil para las personas y organizaciones afectadas defenderse finalmente de los ataques: los actores intentan repetidamente comprometer los sistemas de sus víctimas tan pronto como se pierde el acceso.
Blackwood Group utiliza un implante cibernético persistente
Blackwood es un grupo de Amenaza Persistente Avanzada (APT) financiado por el estado chino y ha estado activo desde al menos 2018. Desde entonces, ha llevado a cabo campañas de ciberespionaje contra personas y empresas chinas y japonesas, principalmente mediante ciberespionaje. Ella prefiere el método Adversario en el Medio (AitM): los ciberdelincuentes interfieren con la comunicación entre el usuario y un servicio legítimo e incluso pueden utilizarlo para eludir mecanismos de seguridad como la autenticación multifactor.
En sus ataques, el grupo Blackwood utilizó una herramienta con el críptico nombre NSPX30. Se trata de un llamado implante, es decir, un malware que permite a los piratas informáticos un amplio acceso a los sistemas de sus víctimas. La versión básica de esta herramienta apareció por primera vez en 2005. Este implante contiene varias características que incluyen un gotero, un instalador, un orquestador y una puerta trasera. Las dos últimas funciones permiten a los piratas informáticos espiar aplicaciones como Skype, Telegram y los servicios de mensajería Tencent QQ y WeChat, especialmente populares en China. Dos funciones hacen que el implante sea especialmente astuto:
- NSPX30 puede infiltrarse en varias soluciones antimalware chinas para evitar la detección
- La instalación se realiza mediante una actualización oficial: si intenta descargar aplicaciones como Tencent QQ Messenger o las aplicaciones de oficina Sogou Pinyin y WPS Office Updates a través de una conexión no cifrada, el implante se instala automáticamente. Las víctimas ni siquiera tienen que ir a un sitio comprometido o hacer clic en un enlace de phishing para infectarse.
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.
Artículos relacionados con el tema