Según los investigadores de la compañía de seguridad FireEye, después de pocos meses de inactividad, el grupo de hacker chinos (que irrumpieron en el sistema de The New York Times y de otras organizaciones de elite, incluyendo especialistas en defensa) han reanudado sus ataques.
El grupo de ciberespionaje es conocido como APT 12 por sus siglas en ingles (Advanced Persistent Threat number 12) y se cree que tienen vínculos con el Ejército Popular de Liberación de China.
Después de un periodo de quietud, tras la extensa campaña mediatora en enero por la violación de seguridad del The New York TImes, el APT 12 ha reanudado operaciones. Los informes acerca de esto revelan los métodos de operación del grupo, comentaron los investigadores de Fire Eye en su blog
Ned Moram, investigador titular de malware en FireEye, mediante correo electrónico, comentó: «A principios de mayo de 2013, se ha observado nueva actividad por parte de este grupo”. «Estamos prácticamente seguros que los nuevos ataques realizados fueron llevados a cabo por el mismo”.
Los ataques usados son una nueva variante de Backdoor.APT.Aumlib y Backdoor.APT.Ixeshe, estos programas maliciosos han sido asociados previamente con el grupo APT 12, así como la infraestructura del control de mando, comentó Moran.
De acuerdo con los investigadores de FireEye, la nueva versión de Aumlib tenía como objetivo a aquellas organizaciones que ayudaban al desarrollo internacional de finanzas, economía y política, mientras que la variante de Ixeshe fue usada en ataques dirigidos a entidades en Taiwán. Las organizaciones afectadas no fueron nombradas.
Dentro de sus herramientas de malware, los cambios realizados por el grupo APT 12 tenían que ver con los protocolos de comunicación de red, de esta forma los patrones de tráfico generados son diferentes a sus versiones anteriores.
Moran comentó que esto fue con el fin de evitar ser detectados por los sistemas de detección de intrusos. La publicación en el blog de FireEye incluye detalles sobre dichos cambios para que, de esta forma, las empresas puedan crear firmas de detección
Es posible que existan ataques en curso con la nuevas versiones de Aumlib e Ixeshe, dijo Moran. «Recomendamos que las empresas verifiquen si sus herramientas son capaces de identificar dichas variantes”.