El grupo de ciberdelincuencia TA423, alineado con los intereses del Gobierno chino, ha estado activo realizando acciones de ciberespionaje durante las recientes tensiones de China con otros países. Una investigación de la empresa líder de ciberseguridad y cumplimiento normativo Proofpoint, con la ayuda del equipo de inteligencia sobre amenazas de PwC, ha analizado varias fases de una campaña de phishing de alcance internacional, que lleva más de un año y sigue actualmente en curso, pero centrada principalmente en la región Asia-Pacífico.
Algunas de las organizaciones afectadas pertenecen al sector de la fabricación, o son contratistas de defensa, universidades, organismos gubernamentales y abogados especializados en disputas diplomáticas. De manera más concreta, estos ciberdelincuentes han estado dirigiéndose a entidades implicadas en proyectos estratégicos en el mar del sur de China, como el yacimiento de gas de Kasawari, desarrollado por Malasia, y un parque eólico marino de Yunlin, en el Estrecho de Taiwán.
En sus ciberataques, TA423 (también conocido como Red Ladon) se dedicaba a enviar correos electrónicos maliciosos haciéndose pasar por periodistas australianos para distribuir el malware ScanBox, que les permitía realizar tareas de reconocimiento de organismos gubernamentales, medios de comunicación y empresas de energía, entre otras.
El malware ScanBox, que apareció por primera vez en 2014, sigue siendo una herramienta disponible para grupos de ciberdelincuentes en China, y compartida entre ellos, que se despliega de manera selectiva en sus campañas. Anteriormente, este malware había sido utilizado por TA423, con motivo de unas elecciones, en ataques para las cuales se habían creado páginas webs maliciosas con noticias locales a fin de atraer a las víctimas e infectarlas.
Desde Proofpoint y PwC creen que el grupo de ciberdelincuencia TA423 continuará con sus labores de recopilación de información y espionaje, dirigiéndose a los países situados en el mar del sur de China, además de realizar nuevas incursiones en Europa, Estados Unidos y Australia.
“TA423 es uno de los grupos APT más consistentes dentro del panorama de amenazas. Sus miembros apoyan al Gobierno chino en asuntos relacionados con el mar del sur de China, incluso durante las recientes tensiones en Taiwán”, afirma Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía. “Estos ciberdelincuentes quieren saber de manera específica quién está activo en la región y, aunque no podemos asegurarlo, es probable que su fijación por cuestiones navales siga siendo una prioridad constante en lugares como Malasia, Singapur, Taiwán y Australia”.