Ke3chang
Uno de los grupos de piratería informática más populares, que se cree que proviene de China, es Ke3chang APT (Advanced Persistent Threat). También se conocen como APT15. Con el tiempo, los investigadores de malware han estado siguiendo de cerca la actividad del grupo de piratería Ke3chang y han hecho algunos descubrimientos interesantes. Parece que las campañas de APT15 tienen algunas similitudes significativas con las de otros grupos de piratería chinos, como tácticas similares, infraestructura casi idéntica y cargas útiles coincidentes. Entre estos grupos de piratería con sede en China se encuentran Playful Dragon, GREF, RoyalAPT, Vixen Panda y Mirage. Por lo general, similitudes tan cercanas significan una de dos cosas (o ambas): ciertos piratas informáticos prominentes son miembros de más de un grupo, o / y los grupos de piratas informáticos comparten información y técnicas, que son mutuamente beneficiosas.
Tabla de contenido
Arsenal de herramientas de piratería de Ke3chang
El grupo de piratería Ke3chang tiende a atacar industrias o individuos de gran importancia. Se sabe que han ejecutado ataques contra las industrias militar y petrolera, así como contra diplomáticos, políticos y diversos organismos gubernamentales. El grupo de piratería Ke3chang desarrolla sus propias herramientas de piratería y realiza sus operaciones utilizándolas casi exclusivamente. Algunas de las herramientas del vasto arsenal del grupo Ke3chang son TidePool, Ketrican , RoyalDNS , BS2005 , Okrum y otras. Sin embargo, los expertos en ciberseguridad han detectado una campaña en la que el grupo de piratería Ke3chang utilizó una herramienta de piratería disponible públicamente llamada Mimikatz , que se utiliza para recopilar información del host comprometido.
Cómo suele llevar a cabo sus ataques el grupo Ke3chang
En 2010, la APT Ke3chang apareció en el mapa con su infame campaña contra políticos de alto rango en Europa. También se sabe que han lanzado campañas en América del Sur dirigidas a personas similares. Por lo general, el grupo de piratería Ke3chang se asegura de infiltrarse en un host y recopilar información sobre el sistema, como datos de software y hardware. Esto ayuda a los atacantes a decidir cuál sería la forma más eficiente de continuar la operación. También se extraen otros datos, como registros de chat, contraseñas, documentos, etc. Entonces, los atacantes pueden optar por utilizar sus privilegios en la máquina comprometida e intentar infiltrarse en otros sistemas potencialmente vulnerables conectados a la misma red.
El malware Okrum
La joya de la corona del Grupo Ke3chang es el malware Okrum. Esta amenaza es particularmente compleja e impresionante. El grupo de piratería también utiliza un método de propagación bastante complejo: la esteganografía. Esta técnica implica la inyección del script comprometido de la amenaza en un archivo PNG diseñado específicamente.
Por lo general, el grupo de piratería Ke3chang se asegura de ganar persistencia en el sistema infectado. Esto les ayuda a mantener activa la amenaza plantada durante períodos más prolongados.
