La empresa de ciberseguridad Proofpoint detectó el pasado marzo una campaña de ciberespionaje procedente de China y dirigida a Europa en la que los ciberdelincuentes enviaban como cebo unas supuestas directrices contra el coronavirus de parte de la Organización Mundial de la Salud (OMS).
El objetivo real de esta amenaza era distribuir una nueva familia de ‘malware’, a la que los investigadores han denominado Sepulcher, entre organismos diplomáticos y legislativos europeos, centros de investigación sin ánimo de lucro sobre políticas y organizaciones globales de asuntos económicos, como ha informado Proofpoint en un comunicado.
Las cuentas desde las que se remitían dichos mensajes apuntaban al grupo TA413, asociado a los intereses del gobierno chino, como autor de la amenaza, pese a que su actividad había estado ligada hasta entonces a históricas campañas en contra de la diáspora tibetana.
Este grupo de ciberespionaje recurrió al gancho de la Covid-19 para recopilar información acerca de la salud de las economías occidentales en mitad de la pandemia, aprovechándose de la situación de urgencia mundial para atraer a sus víctimas con un nuevo ‘malware’.
Los correos electrónicos pertenecientes a esta campaña contenían un archivo adjunto en formato de texto enriquecido (RTF) que simulaba ser el documento titulado ‘Critical preparedness, readiness and response actions for COVID-19, Interim guidance’, que la OMS publicó inicialmente el pasado 7 de marzo.
Los ciberdelincuentes empezaron a circular dicho adjunto malicioso el 16 de marzo que, al ejecutarse, explotaba una vulnerabilidad del editor de ecuaciones de Microsoft, instalando un metarchivo de Windows (WMF) que finalmente entregaba el ‘malware’. Según los expertos en ciberseguridad, esta táctica con documentos RTF no es más que una variante de otro método que siguen números grupos de ciberdelincuencia en China.
Desde Proofpoint comentan, no obstante, que en el caso del TA413 este reajuste de enfoque en sus ataques ha sido a corto plazo. El mismo grupo de amenaas persistentes avanzadas (APT) ha sido vinculado a finales de julio a otras campañas de amenazas dirigidas de nuevo hacia la comunidad tibetana.