Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha informado sobre una inusual campaña maliciosa en la que atacantes se hacen pasar por autoridades fiscales de Europa (incluída España), Estados Unidos y Asia. El objetivo de esta operación es distribuir el malware personalizado Voldemort para recopilar información y desplegar cargas adicionales.
Atribución al grupo TA415
Los analistas de Proofpoint han atribuido esta campaña al grupo de ciberdelincuentes TA415, también conocido como APT41 y Brass Typhoon, alineado con el gobierno chino. Esta atribución se basa en múltiples vínculos recientemente identificados que muestran una alta confianza entre la campaña que distribuye Voldemort y la infraestructura conocida de TA415.
Además, también se han encontrado coincidencias con actividades notificadas en julio por Mandiant, empresa de ciberseguridad subsidiaria de Google.
A finales de agosto, Proofpoint detectó una campaña dirigida con una cadena de ataque casi idéntica para distribuir el backdoor Voldemort. En este caso, los ciberdelincuentes suplantaban a una asociación de la industria aeroespacial de Taiwán, en consonancia con los objetivos de TA415 y otros atacantes alineados con China, enfocándose en menos de cinco empresas aeroespaciales de Estados Unidos.
Técnicas utilizadas por los atacantes
El grupo TA415 empleaba URLs de caché de Google AMP que redirigían a archivos 7-Zip protegidos por contraseña y alojados en OpenDrive. Estos archivos contenían archivos maliciosos Microsoft Shortcut (LNK) que intentaban descargar un script Python alojado en paste[.]ee.
Esta actividad se prolongó hasta finales de septiembre, dirigiéndose a un reducido número de organizaciones en los sectores químico, asegurador y manufacturero.
Según los investigadores de Proofpoint, los mensajes maliciosos notificaban a los destinatarios sobre supuestos cambios en sus declaraciones de impuestos. Cada señuelo estaba personalizado y escrito en el idioma de la agencia tributaria suplantada. Los correos electrónicos se enviaban desde dominios presuntamente comprometidos, donde los ciberdelincuentes incluían el dominio real de la agencia tributaria en la dirección de correo electrónico para incrementar la sensación de legitimidad.