Lotus Panda: El Grupo APT Chino que Ataca Gobiernos con Nuevas Variantes del Backdoor Sagerunex

Lotus Panda: El Grupo APT Chino que Ataca Gobiernos con Nuevas Variantes del Backdoor Sagerunex
Seguridad Informática Autor: Condorsoft

En el mundo de la ciberseguridad, los grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) representan uno de los desafíos más significativos para las organizaciones a nivel global. Entre estos grupos, Lotus Panda, también conocido bajo varios alias como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip, ha emergido como un actor particularmente activo y sofisticado. Este grupo, sospechoso de tener orígenes chinos, ha estado en operación desde al menos 2009, y recientemente ha sido observado utilizando nuevas variantes de un conocido backdoor llamado Sagerunex para atacar sectores gubernamentales, de manufactura, telecomunicaciones y medios en países como Filipinas, Vietnam, Hong Kong y Taiwán.

El backdoor Sagerunex no es nuevo en el arsenal de Lotus Panda. De hecho, este grupo ha estado utilizando esta herramienta maliciosa desde al menos 2016. Sin embargo, lo que llama la atención en esta ocasión es la evolución y sofisticación de las nuevas variantes de Sagerunex, las cuales han sido diseñadas para evadir detección mediante el uso de servicios legítimos como Dropbox, X (anteriormente conocido como Twitter), y Zimbra como túneles de comando y control (C2). Estas variantes, denominadas "beta" debido a la presencia de cadenas de depuración en su código fuente, representan un salto significativo en las capacidades de este grupo.

El modus operandi de Lotus Panda incluye la recopilación de información del sistema objetivo, la cual es cifrada y luego exfiltrada a un servidor remoto bajo el control del atacante. Las versiones de Sagerunex que utilizan Dropbox y X se cree que han estado en uso entre 2018 y 2022, mientras que la variante que emplea Zimbra ha estado activa desde 2019. Esta última es particularmente ingeniosa, ya que no solo recopila información de la víctima y la envía a un buzón de Zimbra, sino que también permite a los atacantes utilizar el contenido del correo para dar órdenes y controlar la máquina comprometida.

Además de Sagerunex, Lotus Panda ha desplegado una serie de herramientas adicionales en sus campañas de ataque. Entre estas se incluyen un robador de cookies para capturar credenciales del navegador Chrome, una utilidad de proxy de código abierto llamada Venom, un programa para ajustar privilegios, y software personalizado para comprimir y cifrar los datos capturados. Este conjunto de herramientas permite al grupo realizar una amplia gama de actividades maliciosas, desde el reconocimiento del entorno objetivo hasta la exfiltración de datos sensibles.

La capacidad de Lotus Panda para adaptarse y evolucionar sus tácticas, técnicas y procedimientos (TTPs) es un recordatorio de la importancia de la vigilancia constante y la actualización de las defensas de ciberseguridad. Las organizaciones, especialmente aquellas en los sectores objetivo de este grupo, deben estar atentas a las señales de compromiso y considerar la implementación de medidas de seguridad avanzadas para protegerse contra estas amenazas persistentes y sofisticadas.