Les agències de ciberseguretat d’Austràlia, Canadà, Alemanya, Japó, Nova Zelanda, Corea del Sud, el Regne Unit i els Estats Units han publicat un informe conjunt sobre un grup d’espionatge cibernètic, vinculat a la Xina, anomenat APT40, on adverteixen sobre la seva capacitat per cooptar explotacions per a nous defectes de seguretat divulgats poques hores o dies després de la revelació pública.

Les agències informen que «Anteriorment, l’APT40 s’havia dirigit a organitzacions de diversos països, inclosos Austràlia i els Estats Units. En particular, l’APT40 té la capacitat de transformar i adaptar ràpidament les proves de concepte de vulnerabilitat (PoC) per a operacions d’orientació, reconeixement i explotació».

Se sap que aquest col·lectiu, també conegut com a Bronze Mohawk, Gingham Typhoon (abans Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 i TEMP.Periscope porta actiu almenys des de l’any 2011, amb ciberatacs dirigits a entitats de la regió Àsia-Pacífic. Es creu que té la seu a Haikou.

El juliol de 2021, els EUA i els seus aliats van declarar oficialment que el grup estava afiliat al Ministeri de Seguretat de l’Estat (MSS) de la Xina, i  van acusar diversos membres del grup pirata d’orquestrar una campanya plurianual dirigida a diferents sectors per facilitar el robatori de secrets comercials, propietat intel·lectual i informació de gran valor.

Durant els darrers anys, a l’APT40 se l’ha relacionat amb ones d’intrusió que ofereixen un marc de reconeixement ScanBox, així com l’explotació d’una falla de seguretat a WinRAR (CVE-2023-38831, puntuació CVSS: 7,8) com a part d’una campanya de pesca dirigida a Papua Nova Guinea per oferir una porta del darrere anomenada BOXRAT.

Després, a principis d’aquest març, el govern de Nova Zelanda va implicar l’actor d’amenaça en la violació de dades de l’Oficina del Consell Parlamentari i el Servei Parlamentari el 2021.

Les agències autores de l’informe també van afirmar que «L’APT40 identifica noves explotacions dins del programari públic que es fa servir àmpliament, com ara Log4j, Atlassian Confluence i Microsoft Exchange, per dissenyar la infraestructura de la vulnerabilitat associada».

«L’APT40 fa regularment reconeixements contra xarxes d’interès, incloses xarxes dels països de les agències de l’informe, i busca oportunitats per comprometre els seus objectius. Aquest reconeixement regular facilita que el grup pugui identificar dispositius vulnerables, que estan al final de la seva vida útil o que ja no es mantenen a les xarxes d’interessos i aprofiten per desplegar explotacions ràpidament».

Entre les tasques emprades per l’equip de pirateria patrocinat per l’Estat hi ha el desplegament de shells web per establir la persistència i mantenir l’accés al voltant de la víctima, com també l’ús de llocs web australians amb finalitats de comandament i control (C2).

També s’ha observat la incorporació de dispositius obsolets o sense pedaços, inclosos encaminadors d’oficines petites/oficines a casa (SOHO), com a part de la seva infraestructura d’atac en un intent de redirigir el tràfic maliciós i eludir la detecció, un estil operatiu semblant al que fan servir altres grups amb seu a la Xina com ara Volt Typhoon.

Segons Mandiant, propietat de Google, això forma part d’una operació més àmplia en l’activitat d’espionatge cibernètic originari de la Xina, que té com a objectiu prioritzar atacs sigil·losos mitjançant l’armament cada vegada més gran dels dispositius de la xarxa, les xarxes de caixes de relé operacional (ORB) i les tècniques d’atac LotL per no ser detectats pels radars.

Les cadenes d’atac també impliquen la realització d’activitats de reconeixement, escalada de privilegis i moviment lateral mitjançant el protocol d’escriptori remot (RDP) per robar credencials i extreure informació d’interès.

Per mitigar els riscos que plantegen aquestes amenaces, es recomana a les organitzacions mantenir mecanismes de registre adequats, fer complir l’autenticació multifactor (MFA), implementar un sistema de gestió de pedaços robust, substituir equips al final de la seva vida útil, desactivar serveis, ports i protocols no utilitzats, i segmentar les xarxes per evitar l’accés a dades delicades.