El grupo APT Naikon está atacando organismos militares, civiles y gubernamentales localizadas en el Mar de la China Meridional. En el último tiempo, esta región se convirtió en un semillero de disputas territoriales entre varias naciones del sudeste asiático.
Según un informe del equipo GReAT de Kaspersky Lab, los objetivos de Naikon -también conocido como APT-30- incluyen organizaciones de Filipinas, Malasia, Camboya, Indonesia, Tailandia Vietnam, Birmania, Singapur y Nepal.
Al igual que el resto de las campañas APT (Amenaza Persistente Avanzada), Naikon infecta sus víctimas con ataques spear-phishing a través del correo electrónico. Los criminales envían archivos ejecutables maliciosos disfrazados de documentación importante. Cuando la víctima abre uno de estos archivos, se muestra un documento señuelo, mientras que el ejecutable explota una vieja vulnerabilidad de Microsoft Office e instala el malware.
Por más de cinco años, Naikon se ha aprovechado de los lazos culturales en cada uno de los países que atacó. De esta manera, Naikon aprovechó las tendencias coyunturales, tales como la utilización de direcciones de correo electrónico personales para realizar negocios. Los atacantes explotaron esta debilidad mediante la creación e-mails muy similares a los reales y enviaron desde allí mensajes phishing más efectivos.
Hellsing APT retaliates against Naikon attackers with own phishing ploy | http://t.co/fah3HZ81Aj pic.twitter.com/QUwv6hvzVK
— SC Media (@SCMagazine) April 15, 2015
Al mismo tiempo, el grupo criminal también instaló parte de sus infraestructuras de comando y control en los países objetivo con el fin de brindar soporte diario a las conexiones en tiempo real y al robo de datos. Naikon tiene la capacidad de interceptar el tráfico en las redes de las víctimas y enviar 48 comandos remotos distintos, que incluyen: realizar un inventario completo de los archivos del sistema, descargar o cargar datos, instalar módulos de complementos y trabajar con la línea de comandos.
En suma, estos 48 comandos le permiten al grupo tomar el control completo sobre cualquier máquina infectada. Según sospechan las autoridades, el objetivo principal de Naikon es recopilar información geopolítica.
“Los criminales detrás de los ataques de Naikon idearon una infraestructura muy flexible que puede ser empleada en cualquier país, con información que viaja desde los sistemas infectados al centro de comando”, explicó el director de Investigación de Seguridad de Kaspersky Lab, Kurt Baumgartner.
“Si lo atacantes decidieran ir a la caza de otro objetivo en otro país, podrían simplemente establecer una nueva conexión. Tener operadores dedicados enfocados en su propios objetivos facilitó enormemente el trabajo de espionaje de Naikon”, agregó.
De hecho, en un país que Kaspersky Lab prefirió no revelar, el grupo de hackers de Naikon comprometió las oficinas del Presidente, las Fuerzas Militares, la Secretaría de Gabinete, el Consejo de Seguridad Nacional, la Oficina del Fiscal General, la Agencia de Coordinación de Inteligencia Nacional, la Autoridad de Aviación Civil, el Departamento de Justicia, la Policía Federal y la Administración del Poder Ejecutivo.
El objetivo principal del grupo APT #Naikon es robar información geopolítica de las naciones localizadas en el Mar de la China Meridional
Tweet
Como siempre, los expertos de Kaspersky Lab recomiendan a los usuarios que nunca abran archivos adjuntos de personas que no conocen, que utilicen una solución anti-malware avanzada y mantengan su sistema actualizado constantemente.