Una campaña de ciberespionaje avanzado atribuida al grupo de ciberdelincuencia chino Earth Krahang ha vulnerado la seguridad de 70 organizaciones a nivel global, incluyendo ministerios de Asuntos Exteriores y otras agencias gubernamentales, desplegando un sofisticado arsenal de herramientas para comprometer infraestructuras clave y recolectar información sensible.

La actividad de Earth Krahang, detectada por investigadores de Trend Micro desde principios de 2022, ha demostrado una capacidad excepcional para infiltrarse en organizaciones gubernamentales en 45 países, afectando principalmente a 48 de estas, 10 de las cuales son ministerios de Asuntos Exteriores.

Este grupo ha utilizado técnicas avanzadas como el aprovechamiento de vulnerabilidades en servidores expuestos a Internet, correos electrónicos de spear-phishing y ataques de fuerza bruta para instalar backdoors personalizados y realizar espionaje cibernético.

Los atacantes han explotado específicamente vulnerabilidades como CVE-2023-32315 y CVE-2022-21587 para acceder y persistir en las redes comprometidas. Además, han empleado correos electrónicos de spear-phishing temáticos relacionados con cuestiones geopolíticas para engañar a los destinatarios y hacerles abrir archivos adjuntos maliciosos o hacer clic en enlaces, lo que facilita la instalación de malware y la posterior extracción de información.

Una vez dentro de la red, Earth Krahang ha utilizado las infraestructuras comprometidas para alojar cargas útiles maliciosas, redirigir el tráfico de ataque y emplear cuentas de correo electrónico gubernamentales hackeadas para dirigirse a otros gobiernos o contactos con emails de spear-phishing. En un caso notorio, utilizaron una cuenta de correo electrónico comprometida de una entidad gubernamental para enviar un archivo adjunto malicioso a 796 direcciones de correo electrónico pertenecientes a la misma entidad.

Figura 1. Cadena de infección de un ataque de spear-phishing de Earth Krahang (consulte la sección ATT&CK de MITRE para conocer los detalles de cada ID de técnica)

Ante la sofisticación y el alcance de la campaña de Earth Krahang, se recomienda enfáticamente a las organizaciones gubernamentales y otras posibles entidades objetivo permanecer vigilantes ante la actividad sospechosa en sus sistemas. En este contexto, la implementación de actualizaciones de seguridad de manera oportuna se convierte en un pilar fundamental. Asimismo, educar a los empleados sobre los riesgos inherentes a la ingeniería social y ataques de spear-phishing, sumado a la adopción de medidas de autenticación multifactor, son estrategias clave para mitigar el riesgo de compromiso.

En este escenario, la colaboración con socios de confianza especializados en la protección contra ciberamenazas puede proporcionar una capa adicional de seguridad. Empresas como Hispasec, con un historial comprobado en la detección y respuesta ante amenazas digitales, ofrecen soluciones que pueden ser cruciales para anticipar, identificar y neutralizar ataques antes de que estos afecten las operaciones críticas. La utilización de sus servicios de protección contra ciberamenazas no solo es una medida proactiva, sino también una inversión en la continuidad y resiliencia de las operaciones frente a las adversidades del ciberespacio.

Más información:

• https://nvd.nist.gov/vuln/detail/CVE-2023-32315
• https://nvd.nist.gov/vuln/detail/CVE-2022-21587
• https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
• https://www.redpacketsecurity.com/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
• https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
• https://cybersecuritynews.com/earth-krahang/