Alerta en Ciberseguridad: APT40 de China y su rápida adaptación a explotaciones
Las agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, Nueva Zelanda, Corea del Sur, el Reino Unido y Estados Unidos han emitido una advertencia conjunta acerca de un grupo de espionaje cibernético vinculado a China conocido como APT40. Esto debido a su increíble capacidad para adoptar los exploits de las fallas de seguridad recién descubiertas en cuestión de horas o incluso minutos después de ser publicadas.
Desde 2011, APT40 ha dirigido ataques cibernéticos contra entidades en la región Asia-Pacífico y diversas organizaciones de países como Australia y Estados Unidos. Este grupo, también conocido por varios alias como Bronze Mohawk, Gingham Typhoon, entre otros, se sabe que opera desde la ciudad china de Haikou, y en julio de 2021 se le atribuyó oficialmente la afiliación con el Ministerio de Seguridad del Estado de China (MSS).
El modus operandi de APT40 es alarmante. Logra transformar rápidamente pruebas de concepto de vulnerabilidad (PoCs) en herramientas de ataque, reconocimiento y explotación. Algunos de los méritos de este grupo incluyen la creación del marco de reconocimiento ScanBox y la explotación de una vulnerabilidad de seguridad en WinRAR como parte de una campaña de phishing.
Pero lo que ha dirigido los reflectores a APT40 recientemente es su veloz adopción de explotaciones de software público muy utilizado, como Log4j, Atlassian Confluence y Microsoft Exchange, específicamente, para infiltrar la infraestructura que es vulnerable a estos sistemas. Además, han puesto en marcha tácticas como la implementación de conchas web para establecer persistencia, entre otras formas de acceso al entorno de la víctima.
Asimismo, APT40 ha demostrado un uso arriesgado pero efectivo de equipos desactualizados o no corregidos, incluso enrutadores de pequeñas oficinas o domésticos (SOHO), en sus infraestructuras de ataque. Tal proceso les permite esquivar la detección al redirigir el tráfico malicioso. Este estilo operativo es comparable al de otros grupos provenientes de China.
Para enfrentar las amenazas que este y otros colectivos similares representan, se recomienda a las organizaciones asegurarse de contar con mecanismos adecuados de registro, implementar autenticación multifactor (MFA), establecer un sólido sistema de gestión de parches, reemplazar equipo obsoleto y desactivar servicios, puertos y protocolos no utilizados.
La rápida adaptación de APT40 a las vulnerabilidades recién descubiertas es una señal de alerta. Sin embargo, con las medidas de seguridad apropiadas, es posible proteger nuestros sistemas e información. La ciberseguridad es un esfuerzo constante, pero con una gestión de riesgos efectiva, podemos mantenernos un paso adelante de los ciberdelincuentes.