La investigación de ESET revela que Evasive Panda ha atacado a entidades gubernamentales y religiosas en Taiwán, aprovechando cookies de sesión para acceder a servicios como Google Drive y Outlook.
Evasive Panda utiliza cookies de sesión para exfiltrar información en Taiwán, según ESET
(31/Oct/2024 – Panama24Horas web) Buenos Aires, Argentina.- ESET, la compañía líder en detección proactiva de amenazas, ha descubierto un conjunto inédito de herramientas utilizadas por el grupo Evasive Panda, también conocido como BRONZE HIGHLAND, Daggerfly o StormBamboo, para llevar a cabo ataques cibernéticos en Taiwán. Entre 2022 y 2023, este grupo, alineado con intereses chinos y activo desde 2012, ha estado involucrado en el ciberespionaje contra entidades gubernamentales y organizaciones religiosas en el país asiático.
El conjunto de herramientas, denominado CloudScout, permite a los atacantes recuperar datos de diversos servicios en la nube utilizando cookies de sesión web robadas. Durante la investigación, ESET encontró que CloudScout había sido implementado en la red de una institución religiosa y en una entidad gubernamental en Taiwán.
Evasive Panda emplea esta tecnología para acceder y exfiltrar datos de plataformas como Google Drive, Gmail y Outlook. La investigación reveló que los módulos de CloudScout estaban diseñados específicamente para usuarios taiwaneses, utilizando cookies robadas proporcionadas por plugins de MgBot.
A principios de 2023, se detectó que Evasive Panda desplegaba nuevos módulos en una entidad gubernamental, diseñados para el secuestro de sesiones web autenticadas. A diferencia de las credenciales robadas, que pueden ser bloqueadas por medidas de seguridad como la autenticación de dos factores, las cookies de sesión permiten a los atacantes acceder a la nube directamente desde la máquina de la víctima.
En respuesta a esta amenaza, Google ha introducido iniciativas como el proyecto Device Bound Session Credentials (DBSC) y la función App-Bound Encryption en la actualización de Chrome 127, que buscan proteger a los usuarios contra malware de robo de cookies, como CloudScout.
El análisis de ESET también indica que el marco modular CloudScout no había sido documentado previamente, lo que resalta la sofisticación técnica detrás de las operaciones de Evasive Panda. Según Gutierrez Amaya de ESET Latinoamérica, «el diseño profesional de CloudScout demuestra las capacidades técnicas de Evasive Panda y el importante papel de los datos en la nube en sus actividades de espionaje».
ESET continúa vigilando estas amenazas emergentes y trabajando para proporcionar soluciones que protejan a los usuarios y organizaciones frente a ciberataques sofisticados.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *