Las agencias gubernamentales y las organizaciones no gubernamentales de Estados Unidos se han convertido en el objetivo de un actor de amenaza estatal naciente en China conocido como Tormenta-2077.
El adversario, que se cree que está activo desde al menos enero de 2024, también ha llevado a cabo ciberataques contra la Base Industrial de Defensa (DIB), la aviación, las telecomunicaciones y los servicios financieros y legales en todo el mundo, dijo Microsoft.
El grupo de actividad, agregó la compañía, se superpone con un grupo de amenazas que Insikt Group de Recorded Future está rastreando como TAG-100.
Las cadenas de ataques han implicado apuntar a varios dispositivos de borde conectados a Internet utilizando exploits disponibles públicamente para obtener acceso inicial y eliminar Cobalt Strike, así como malware de código abierto como Pantegana y Spark RAT, señaló la compañía de ciberseguridad en julio.
“Durante la última década, tras numerosas acusaciones gubernamentales y la divulgación pública de las actividades de los actores de amenazas, rastrear y atribuir operaciones cibernéticas originadas en China se ha vuelto cada vez más desafiante a medida que los atacantes ajustan sus tácticas”, dijo Microsoft.
Se dice que Storm-2077 organiza misiones de recopilación de inteligencia utilizando correos electrónicos de phishing para recopilar credenciales válidas asociadas con aplicaciones de eDiscovery para la posterior exfiltración de correos electrónicos, que podrían contener información confidencial que podría permitir a los atacantes avanzar en sus operaciones.
“En otros casos, se ha observado que Storm-2077 obtiene acceso a entornos de nube mediante la recopilación de credenciales de puntos finales comprometidos”, dijo Microsoft. “Una vez obtenido el acceso administrativo, Storm-2077 creó su propia aplicación con derechos de lectura de correo”.
La divulgación se produce cuando el Threat Intelligence Group (TAG) de Google arroja luz sobre una operación de influencia (IO) pro-China llamada GLASSBRIDGE que emplea una red de sitios de noticias y servicios de noticias no auténticos para amplificar narrativas que están alineadas con las opiniones y la agenda política del país a nivel mundial. .
El gigante tecnológico dijo que ha bloqueado la aparición de más de mil sitios web operados por GLASSBRIDGE en sus productos Google News y Google Discover desde 2022.
“Estos sitios de noticias no auténticos son operados por un pequeño número de firmas independientes de relaciones públicas digitales que ofrecen servicios de noticias, distribución y marketing”, dijo la investigadora de TAG Vanessa Molter. “Se hacen pasar por medios independientes que republican artículos de los medios estatales de la República Popular China, comunicados de prensa y otros contenidos probablemente encargados por otros clientes de agencias de relaciones públicas”.
Esto incluye empresas conocidas como Shanghai Haixun Technology (que incluye el grupo HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (también conocida como la campaña PAPERWALL), Shenzhen Bowen Media y DURINBRIDGE, la última de las cuales es una empresa comercial que distribuye contenidos para Haixun y PUENTE DEL DRAGÓN.
También se dice que Shenzhen Bowen Media, una empresa de marketing con sede en China, opera World Newswire, el mismo servicio de comunicados de prensa utilizado por Haixun para colocar contenido pro-Beijing en los subdominios de medios de noticias legítimos, como reveló Mandiant de Google en julio de 2023.
Algunos de los subdominios identificados fueron mercados.post-gazette(.)com, mercados.buffalonews(.)com, business.ricentral(.)com, business.thepilotnews(.)com y Finance.azcentral(.)com, entre otros.
“Los sitios de noticias no auténticos operados por GLASSBRIDGE ilustran cómo los actores de operaciones de información han adoptado métodos más allá de las redes sociales en un intento de difundir sus narrativas”, dijo Molter. “Al hacerse pasar por medios de noticias independientes, y a menudo locales, los actores de IO pueden adaptar su contenido a audiencias regionales específicas y presentar sus narrativas como noticias y contenido editorial aparentemente legítimos”.