Las actividades de Amenazas Persistentes Avanzadas son uno de los principales problemas en términos de ciberseguridad que enfrenta el mundo. El grupo identificado como APT27 lleva activo prácticamente una década completa y es popular por sus avanzadas campañas de ciberespionaje en contra de cientos de organizaciones públicas y privadas de todo el mundo.
Este grupo, también identificado como Emissary Panda, Bronze Union o Lucky Mouse, ha comprometido las operaciones de contratistas de defensa, fabricantes de drones, compañías de servicios financieros, entre otras organizaciones complejas.
No obstante, los más recientes análisis sobre este grupo indican que han enfocado sus esfuerzos en los ataques con motivaciones económicas empleando infecciones de ransomware. Durante un incidente reciente, expertos detectaron el uso de la herramienta BitLocker de Windows para cifrar los servidores de una organización en un ataque similar a la campaña DRBControl, detectada a inicios de 2020 y supuestamente desplegada por APT27 y Winnti, otro grupo de hacking chino.
Los operadores de DRBControl destacaban por el uso de backdoors en contra de casas de apuestas, además de usar un webshell ASPXSpy: “Creemos que existen vínculos extremadamente fuertes con APT27/Emissary Panda, en términos de similitudes de código y TTP”, mencionaba el reporte de la firma de seguridad Profero.
Al parecer, las organizaciones atacadas son infectadas a través de un proveedor de terceros que también fue comprometido por este grupo de hacking. Los expertos aún siguen analizando por qué los hackers usan BitLocker, una herramienta nativa, para cifrar los sistemas afectados.
Los expertos señalan que APT27 no era un grupo enfocado en obtener ingresos derivados de estos ataques, por lo que el despliegue de campañas de ransomware parece realmente inusual. No obstante, esto podría explicarse por el contexto económico por el que atraviesa China a consecuencia de la pandemia; con menos recursos recibidos de organizaciones en Asia, es posible que el grupo haya visto en los ataques de ransomware una fuente de ingresos constantes. Algunos expertos también han vinculado las recientes infecciones de ransomware Polar con APT27, aunque aún falta evidencia para emitir un juicio certero.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.