El APT40 se especializa en N-Days

Asociado al estado chino este grupo utiliza vulnerabilidades recientemente publicadas para conseguir acceso inicial a redes objetivo

Un aviso conjunto firmado por agencias gubernamentales de Australia, Estados Unidos, Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea del Sur y Japón pone el foco en esta amenaza avanzada y persistente que prefiere recurrir a técnicas de acceso inicial que no requieran intervención por parte del usuario.

Para ello el grupo se especializa en la detección de infraestructuras expuestas a Internet que sean vulnerables a fallos de seguridad de reciente descubrimiento, aumentando la presión a las organizaciones para aplicar los parches disponibles con la mayor presteza posible.

Este APT se centra también en dispositivos que hayan alcanzado el final de su ciclo de actualizaciones y presenten vulnerabilidades sin parche que las corrija. Los equipos de red en esta circunstancia deberían ser retirados o como mínimo evitar que sean accesibles desde Internet.

Fuente: Australian Signals Directorate

El escaneo continuo de las redes de interés por parte del grupo asociado al gobierno chino le permite actuar con gran rapidez, tras la publicación de vulnerabilidades. Una vez conseguido el acceso inicial los atacantes despliegan consolas web para establecer persistencia y exfiltrar información sensible.

Los datos conseguidos sirven tanto para nutrir a la inteligencia del gigante asiático como para ser transferidos a las empresas nacionales en el caso de secretos industriales.

Similar a otras ramas del ciberespionaje asiático, el APT40 recurre a botnets de dispositivos domésticos infectados para camuflar sus actividades de reconocimiento y hacerlas pasar por tráfico residencial legítimo.

El aviso conjunto señala la importancia de establecer la máxima visibilidad sobre los eventos en dispositivos periféricos de red, la gestión de parches para que su despliegue sea lo más inmediato posible y la segmentación de red para evitar que el compromiso de un nodo pueda afectar al resto de la infraestructura.

Fuentes y más información:

• https://www.darkreading.com/endpoint-security/chinese-apt40-exploits-nday-vulns-rapid-pace
• https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/apt40-advisory-prc-mss-tradecraft-in-action
• https://www.bleepingcomputer.com/news/security/chinese-apt40-hackers-hijack-soho-routers-to-launch-attacks/
• https://thehackernews.com/2024/07/cybersecurity-agencies-warn-of-china.html