¿Cómo funciona el grupo de ciberespionaje chino Naikon?

En este vídeo, Eusebio Nieva, director técnico de Check Point para España y Portugal, explica cómo han descubierto a este grupo de cibercriminales, cuál es su relación con el gobierno chino y cómo llevaban a cabo sus ataques con el malware Aria-body.

Check Point ha descubierto a Naikon, un grupo chino APT que llevaba cinco años realizando operaciones de ciberespionaje contra varios gobiernos de Asia y Pacífico. Naikon reconoció en 2015 la autoría de varios ataques contra organismos gubernamentales y otras organizaciones en países situados alrededor del Mar de China, que tenían como objetivo acceder a información política confidencial. Sin embargo, durante ese mismo año el grupo parecía haber cesado su actividad, pero fue solo en apariencia, puesto que los investigadores de la compañía han descubierto que el grupo no solo se ha mantenido en activo durante los últimos cinco años, sino que también ha incrementado sus acciones de ciberespionaje durante todo el 2019 y el primer trimestre de 2020.

Este grupo de cibercriminales dirige sus ataques principalmente a entidades gubernamentales como los ministerios de asuntos exteriores o ciencia y tecnología de países de la región de Asia y Pacífico, entre los que destacan Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei. Su principal objetivo es reunir una gran cantidad de información sensible con fines geopolíticos.

¿Cómo desarrolla Naikon sus ataques?

El modus operandi de este grupo consistía en infiltrarse en un organismo gubernamental con el objetivo de utilizar sus contactos y documentos para lanzar ataques contra otras entidades, aprovechando la confianza y las relaciones diplomáticas para aumentar el porcentaje de éxito de que sus ataques. Los expertos de Check Point comenzaron su investigación analizando un correo electrónico enviado al gobierno australiano que incluía un documento adjunto infectado. Este archivo contenía un exploit que, al abrirse, se infiltraba en el PC del usuario e intentaba descargar un nuevo y sofisticado malware de puerta trasera (backdoor) llamado Aria-body desde los servidores web externos utilizados por el grupo Naikon. De esta forma, el grupo de cibercriminales obtenía acceso remoto al equipo o a la red infectada sin que ninguna herramienta de seguridad lo detectase.

Fuente: computing.es

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.