Grupo de hackers Cicada distribuye ‘malware’ a través de VLC Player
La actividad de Cicada fue vinculada por Estados Unidos con el Gobierno chino en 2018 y principalmente se centró en empresas relacionadas con Japón en sus etapas iniciales, fechadas en 2009.
Un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) conocido como Cicada está atacando instituciones de todo el mundo, así como organizaciones no gubernamentales (ONG) y utiliza como vía el reproductor gratuito VLC.
Según ha explicado la compañía tecnológica Broadcom Software, en los últimos meses esta agrupación de ciberdelincuentes, también conocida como APT10, ha marcado como objetivo organizaciones de Europa, Asia y América del Norte.
La actividad de Cicada fue vinculada por Estados Unidos con el Gobierno chino en 2018 y principalmente se centró en empresas relacionadas con Japón en sus etapas iniciales, fechadas en 2009.
Recientemente, se han hallado conexiones de este grupo con ataques a proveedores de servicios gestionados (MSP, por sus siglas en inglés) a nivel global.
La atribución de esta actividad, que ha tenido lugar desde mediados de 2021 hasta febrero de 2022, se basa en la presencia en las redes infectadas de un ‘malware’ personalizado que utilizan estos ciberdelincuentes en exclusiva, llamada Sodamaster.
Se trata de un ‘malware’ sin archivos que es capaz de realizar diferentes acciones, como la descarga y ejecución de cargas útiles adicionales o la modificación del nombre de usuario, el ‘host’ o el sistema operativo.
Tal y como ha podido determinar el equipo de investigadores de Symantec, una división de Broadcom, esta actividad se ha detectado en los servidores de Microsoft Exchange, que podrían haberse utilizado para obtener acceso a los sistemas de las víctimas.
Otras de las vías que ataque que han explotado estos ciberdelincuentes ha sido el reproductor gratuito VLC Media Player, en el que han podido introducir este ‘malware’ personalizado mediante la función de exportación de la aplicación.
Además, los miebros de la red Cicada –también conocida como Stone Panda, Potassim, Bronze Riverside o Equipo MenuPass– han utilizado la herramienta WinVNC para el control remoto de los equipos de las víctimas.
Los ciberdelincuentes también han utilizado procedimientos como la herramienta de código abierto NBTScan, WMIExec o archivos RAR para proceder a estos ataques, principalmente destinado a instituciones relacionadas con el gobierno y ONGs.
Entre algunos de los sectores en los que se han concentrado estas acciones maliciosas destacan el de las telecomunicaciones, legal, educación, farmacéutico y el religioso.
Además, según ha podido comprobar Symantec estos se han originado en Estados Unidos, Hong Kong, Canadá, Turquía, Israel, India, Montenegro e Italia. (Europa Press)