Un grupo de ciberespionaje conocido como Earth Ammit ha sido vinculado a dos campañas APT (Amenazas Persistentes Avanzadas) altamente sofisticadas, denominadas VENOM y TIDRONE, dirigidas contra organizaciones estratégicas en Taiwán y Corea del Sur entre 2023 y 2024. Las víctimas incluyen sectores clave como defensa, satélites, industria pesada, tecnología, medios de comunicación, atención médica y servicios de software.
Campaña VENOM: Ataques a la cadena de suministro de drones
Según la firma de ciberseguridad Trend Micro, la campaña VENOM se centró en comprometer la cadena de suministro ascendente de fabricantes de drones, especialmente aquellos que brindan servicios de software esenciales. El objetivo principal era infiltrarse en redes confiables mediante ataques a proveedores, para luego extender el alcance a entidades de alto valor. Este enfoque indirecto es característico de las campañas de ciberespionaje patrocinadas por estados.
Los atacantes explotaron vulnerabilidades en servidores web para desplegar web shells y establecer acceso persistente utilizando herramientas como REVSOCK y Sliver, conocidas por dificultar la atribución. El único malware personalizado detectado en VENOM es VENFRPC, una variante adaptada del proxy inverso de código abierto FRP (Fast Reverse Proxy).
Campaña TIDRONE: Infiltración en la industria militar
TIDRONE, la segunda fase de la operación, apuntó directamente a la industria militar taiwanesa mediante técnicas similares. Los ataques incluían la inyección de código malicioso en proveedores de servicios, lo que permitía distribuir malware personalizado a clientes finales. Las principales herramientas utilizadas fueron las puertas traseras CXCLNT y CLNTEND, cargadas mediante DLL y utilizadas para establecer control total sobre los sistemas comprometidos.
Esta campaña se desplegó en tres fases:
-
Acceso inicial: compromiso de proveedores de software ERP.
-
Comando y control: descarga y ejecución de CXCLNT y CLNTEND.
-
Post-explotación: escalamiento de privilegios, evasión de antivirus con TrueSightKiller, persistencia y captura de pantalla con SCREENCAP.
CXCLNT se basa en un sistema modular de plugins que le permite recibir funcionalidades adicionales desde su servidor C&C (comando y control), lo que dificulta el análisis estático y mejora su flexibilidad operativa. CLNTEND, su evolución más reciente, fue observado por primera vez en 2024 y presenta capacidades mejoradas para la evasión y el control remoto.
Infraestructura compartida y vínculos con actores de estado-nación
Trend Micro identificó superposición en la infraestructura de C&C y víctimas entre VENOM y TIDRONE, lo que sugiere que ambas campañas son obra de un mismo actor de amenazas. Se estima que Earth Ammit mantiene conexiones con grupos de ciberespionaje chinos patrocinados por el Estado, como Dalbit (también conocido como m00nlight), debido a similitudes en sus TTP (tácticas, técnicas y procedimientos).
Los investigadores concluyen que Earth Ammit aplica una estrategia deliberada basada en el uso inicial de herramientas públicas para establecer acceso con bajo riesgo, seguido por el despliegue de malware personalizado en objetivos específicos. Comprender esta metodología resulta clave para anticipar y contrarrestar futuras campañas de ciberespionaje avanzado.
Swan Vector: campaña paralela de espionaje en Taiwán y Japón
Mientras tanto, Seqrite Labs reveló una campaña paralela de ciberespionaje conocida como Swan Vector, dirigida a universidades y al sector de ingeniería mecánica en Taiwán y Japón. Esta operación utilizó correos electrónicos de spear phishing con currículums falsos para entregar el malware Pterois, un cargador de DLL que descarga posteriormente shellcode de Cobalt Strike, una herramienta comúnmente empleada por actores maliciosos avanzados.
El malware Pterois también se conecta a Google Drive para descargar un segundo componente malicioso llamado Isurus, que ejecuta el marco posterior de explotación. Según el investigador Subhajeet Singha, el grupo detrás de Swan Vector está activo desde diciembre de 2024 y emplea múltiples técnicas de evasión, como:
-
Hashing de API
-
Llamadas directas al sistema
-
Carga lateral de DLL
-
Eliminación automática del malware tras ejecución
Estas tácticas permiten a los atacantes operar sin dejar huellas, evitando la detección por soluciones de seguridad tradicionales.
En conclusión, las campañas VENOM, TIDRONE y Swan Vector ilustran el creciente uso de técnicas avanzadas de ciberespionaje estatal para comprometer infraestructuras críticas en Asia Oriental. Los sectores de defensa, drones, software ERP y educación se encuentran especialmente en riesgo ante amenazas persistentes avanzadas como Earth Ammit.
Organizaciones en regiones estratégicas como Taiwán, Japón y Corea del Sur deben reforzar sus capacidades de ciberseguridad, implementando medidas proactivas de detección, protección de la cadena de suministro y respuesta ante incidentes. La colaboración internacional en ciberinteligencia será clave para mitigar estas amenazas en evolución.
Fuente: The Hacker News
