Naikon: cibercriminales chinos abren una brecha de espionaje

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

El APT Naikon es un vector de ataque reconocido como de origen asiático.

Esta amenaza fue parte de las campañas selectivas lanzadas contra blancos de importancia crítica en el sudeste de Asia y alrededor del Mar del Sur de China.

Aparentemente, los cibercriminales son espías chinos y aparentemente estuvieron activos no menos de 5 años, enfocados en espionaje geopolítico con intención de vulnerar la seguridad de agencias gubernamentales y organizaciones militares y civiles en Filipinas, Malasia, Camboya, Indonesia, Vietnam, Myanmar, Singapur, Nepal, Tailandia, Laos y China.

Al igual que en otras campañas de este tipo, los cibercriminales envían mensajes de correo spear-phishing para hacer que sus víctimas descarguen el programa malicioso.

Los mensajes de correo adjuntan un archivo con información que captura la atención del destinatario objetivo.

Dicho archivo simula ser un documento normal de Word, pero en realidad se trata de un ejecutable con doble extensión, o de un ejecutable que usa el mecanismo RTLO (texto bidireccional) para disimular la extensión real del archivo.

Si la víctima hace clic en el archivo, se instalará en su equipo un spyware mientras se le muestra un documento falso para borrar toda sospecha por parte del usuario incauto.

El módulo principal de Naikon es una herramienta de administración remota: este módulo soporta 48 comandos para capturar y dominar los equipos infectados. Incluye comandos para levantar un inventario completo, descargar y enviar datos, e instalar módulos de complementos.

Naikon también utiliza un keylogger para hacerse con las credenciales de los empleados infectados.

A cada gobierno atacado le es asignado un operador, capaz de aprovechar aspectos de la cultura local, como la tendencia a usar cuentas personales de correo en el ámbito laboral.

Es habitual que utilicen un servidor proxy específico localizado en el país correspondiente para controlar las conexiones a los equipos infectados y enviar datos a los servidores de comando y control de los cibercriminales que comandan el ataque.

Los gobiernos latinoamericanos deben tomar debida nota de esta problemática y trabajar en la prevención y capacitación de sus recursos para evitar estos sucesos.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris