SentinelOne detecta ataques APT chinos y nuevas tácticas de ransomware Nitrogen

La empresa de ciberseguridad SentinelOne ha revelado que el grupo de amenazas persistentes avanzadas (APT) con vínculos con China, conocido como PurpleHaze, intentó realizar actividades de reconocimiento contra su infraestructura y la de varios de sus clientes estratégicos de alto valor.

Según el análisis técnico publicado por los expertos de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter, este grupo fue detectado por primera vez durante una intrusión en 2024, dirigida a una organización que prestaba servicios logísticos de hardware para empleados de SentinelOne.

PurpleHaze y su conexión con APT15

Los investigadores vinculan a PurpleHaze con APT15, también conocido como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, todos considerados grupos de ciberespionaje patrocinados por el estado chino.

Además, se observó que PurpleHaze atacó en octubre de 2024 a una entidad no identificada vinculada al gobierno del sur de Asia, utilizando una red de retransmisión operativa (ORB) y una puerta trasera en Windows denominada GoReShell. Este implante, desarrollado en lenguaje Go, reutiliza la herramienta de código abierto reverse_ssh para establecer conexiones SSH inversas con dispositivos comprometidos.

"El uso de redes ORB es una tendencia creciente entre actores de amenazas avanzadas, ya que permite crear infraestructuras altamente dinámicas y difíciles de rastrear para operaciones de ciberespionaje", advierten desde SentinelOne.

ShadowPad, ScatterBrain y ataques a infraestructura crítica

Un análisis posterior sugiere que la misma entidad del sur de Asia fue víctima, en junio de 2024, de otro ataque que involucró el uso de ShadowPad (también conocido como PoisonPlug), una puerta trasera muy utilizada por grupos APT chinos y considerada sucesora de PlugX.

Este malware fue identificado con técnicas de ofuscación avanzadas mediante un compilador personalizado conocido como ScatterBrain. Aunque ShadowPad también ha sido usado recientemente para distribuir ransomware, la motivación concreta detrás del ataque de junio permanece incierta.

Se estima que el ShadowPad ofuscado fue utilizado en intrusiones dirigidas a más de 70 organizaciones de sectores como fabricación, gobierno, finanzas, telecomunicaciones e investigación, posiblemente explotando una vulnerabilidad de día cero en dispositivos de puerta de enlace CheckPoint.

Una de las organizaciones afectadas fue la encargada de la logística de hardware para SentinelOne. Afortunadamente, la firma no encontró evidencias de un compromiso secundario en sus sistemas.

Intentos de infiltración desde Corea del Norte

SentinelOne también informó sobre intentos de infiltración por parte de actores alineados con Corea del Norte, quienes, mediante el uso de identidades falsas, buscaron conseguir puestos en áreas críticas de la compañía, incluyendo el equipo de inteligencia SentinelLabs. Se detectaron aproximadamente 360 perfiles falsos y más de 1.000 solicitudes de empleo fraudulentas, parte de una campaña de espionaje encubierto.

Amenazas de ransomware dirigidas a plataformas EDR

Además de los ataques patrocinados por estados, SentinelOne ha sido blanco de operadores de ransomware que buscan evaluar sus productos EDR (Endpoint Detection and Response) para detectar posibles puntos débiles y evadir la detección.

Estos esfuerzos están impulsados por una economía clandestina activa que incluye venta y alquiler de accesos a herramientas de seguridad empresarial a través de canales de mensajería cifrada y foros clandestinos como XSS[.]es, Explotar[.]en y RAMP.

En este contexto, ha emergido un nuevo servicio denominado "EDR Testing-as-a-Service", que permite a los ciberdelincuentes probar malware de forma discreta en entornos semiprivados sin comprometer sus operaciones. Este tipo de pruebas optimiza las cargas útiles maliciosas antes de ser desplegadas en entornos reales.

Nitrogen: ransomware avanzado con ingeniería social sofisticada

Un actor especialmente peligroso es el grupo ransomware Nitrogen, presuntamente dirigido por un ciudadano ruso. A diferencia de otros grupos, Nitrogen evita depender de accesos internos o credenciales robadas, optando por suplantar empresas legítimas para adquirir productos de seguridad oficialmente.

Utilizando dominios clonados, correos falsificados e infraestructura idéntica a compañías reales, Nitrogen logra comprar licencias legítimas de software EDR y otras soluciones de seguridad, con el fin de testear y evadir defensas.

"Este tipo de ingeniería social es extremadamente precisa", señalan los investigadores. "El grupo se enfoca en revendedores pequeños con procesos laxos de verificación KYC (Know Your Customer), reduciendo el riesgo de detección".

En conclusión, el informe de SentinelOne pone de manifiesto cómo grupos APT chinos como PurpleHaze, operadores de ransomware como Nitrogen, y actores norcoreanos están elevando el nivel de sofisticación en las amenazas actuales. Desde ataques dirigidos a infraestructuras críticas, hasta intentos de infiltración corporativa y evaluación de defensas EDR, la ciberseguridad empresarial enfrenta una escalada sin precedentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta