La APT Naikon roba información geopolítica del Mar del Sur (China)

19 May 2015

El grupo Naikon es una amenaza persistente avanzada creada en chino que está dirigida a organizaciones gubernamentales, militares y civiles localizadas en el Mar del Sur (China), un territorio con disputas constantes entre diversas naciones del sudeste asiático.

Naikon también es conocido como APT-30. Según el nuevo informe del equipo de investigación y análisis global de Kaspersky Lab, los objetivos de esta amenaza incluyen a Filipinas, Malasia, Camboya, Indonesia, Vietnam, Birmania, Singapur y Nepal.

Naikon mappa (inglese)

Al igual que otras campañas APT, Naikon infecta a sus víctimas a través de correos electrónicos con spear-phishing que llevan documentos adjuntos ejecutables. Cuando una víctima abre uno de los archivos adjuntos, aparece un documento falso mientras un archivo ejecutable explota una vulnerabilidad de Microsoft Office e instala un malware en el ordenador de la víctima.

Durante cinco años, este grupo APT ha utilizado enlaces culturales para cada uno de sus países de destino. De esta manera, Naikon es capaz explotar tendencias culturales, tales como la dependencia de direcciones de correo electrónico personales para realizar negocios. Los atacantes explotaron esta realidad creando cuentas de correo electrónicas similares a aquellas que se usan en realidad, por lo que los criminales pudieron enviar mensajes de phishing eficazmente.

El grupo también ha instalado partes de su infraestructura de comando y control en los países a los que se dirige, para así poder proporcionar un soporte diario para conexiones en tiempo real y robo de información. También tienen la capacidad de interceptar el tráfico a través de todas las redes de la víctima y emitir 48 comandos diferentes de forma remota, incluyendo un inventario completo de los archivos del sistema, carga y descarga de información, instalación de módulos adicionales, o para trabajar con la línea de comando o símbolo.

Estos 48 comandos en conjunto permiten que el grupo de amenaza tome el control completo de la máquina infectada con Naikon. El objetivo de Naikon es recopilar información geopolítica.

Los criminales detrás de los ataques de Naikon lograron diseñar una estructura muy flexible capaz de ser configurada en cualquiera de los países de destino.

Kurt Baumgartner, director de investigación de seguridad de Kaspersky Lab explicó: “Los criminales detrás de los ataques de Naikon lograron diseñar una estructura muy flexible capaz de ser configurada en cualquiera de los países de destino, transmitiendo información desde los sistemas de las víctimas al centro de mando. Si los atacantes deciden atacar otro país, simplemente podrían crear una nueva conexión. El hecho de tener operadores dedicados en sus propios objetivos, lo hace más fácil para este grupo de espionaje”.

En uno de los países, que Kasperksy Lab ha decidido no revelar, los hackers de Naikon lograron comprometer la oficina de presidencia, las fuerzas militares, la oficina del secretario del gabinete, el Consejo de Seguridad Nacional, la oficina del procurador general de la Agencia Nacional de Coordinación de Inteligencia, la Autoridad de Aviación Civil del departamento de justicia, la policía federal, la administración presidencial/ejecutiva y el personal de gestión y administración.

Los expertos de Kaspersky Lab recomiendan a sus usuarios no abrir nunca archivos adjuntos provenientes de gente que no conocen, utilizar una solución anti malware avanzada y parchear y mantener actualizados los sistemas operativos.