Microsoft ha descubierto una importante amenaza cibernética proveniente de un botnet chino, denominado Quad7. Se dice que este botnet está lanzando sofisticados ataques de password spraying contra organizaciones de todo el mundo.
El grupo detrás de la operación, identificado como Storm-0940, busca infiltrarse en redes, robar credenciales y llevar a cabo actividades cibernéticas más intrusivas y potencialmente disruptivas. El objetivo principal de esta campaña parece ser el espionaje.
Objetivos de alto valor/ Los objetivos del botnet no son aleatorios, sino estratégicamente seleccionados. Incluyen entidades de alto valor como think tanks, organismos gubernamentales, ONG, bufetes de abogados e industrias de defensa.
El método de ataque utilizado por Storm-0940 es calculado y difícil de detectar. Un subgrupo llamado CovertNetwork-1658 realiza intentos mínimos de inicio de sesión en diferentes cuentas de una organización objetivo, manteniéndolo fuera del radar.
El método de ataque empleado por Storm-0940 es calculado y difícil de detectar. Un subgrupo conocido como CovertNetwork-1658 realiza intentos de inicio de sesión mínimos en diferentes cuentas de una organización objetivo, manteniendo un perfil bajo.
El enfoque sigiloso y la acción rápida de Quad7/ Un informe de Microsoft sugiere que, en casi el 80% de los casos, CovertNetwork-1658 realiza solo un intento de inicio de sesión por cuenta y por día. Esta táctica tiene como objetivo evadir los sistemas de monitoreo de seguridad convencionales.
Una vez que los atacantes logran comprometer una cuenta, actúan rápidamente. En algunos casos, se iniciaron más compromisos el mismo día en que se adivinó la contraseña.
Los primeros pasos incluyen la extracción de más credenciales y el despliegue de RAT (Remote Access Trojans) y proxies para mantener su presencia en la red.
Evolución y expansión/ Quad7 saltó a la fama en septiembre de 2024 cuando comenzó a mostrar nuevas capacidades y a ampliar su rango de objetivos.
Inicialmente observado por un investigador llamado Gi7w0rm y estudiado por expertos de Sekoia, el botnet fue visto inicialmente atacando routers TP-Link. Sin embargo, rápidamente evolucionó para atacar otros dispositivos, incluidos routers ASUS, puntos finales VPN de Zyxel, routers inalámbricos Ruckus y servidores multimedia Axentra.
El malware de Quad7 y la escala de las infecciones/ Los atacantes han creado malware personalizado para hackear estos dispositivos, formando grupos únicos de infecciones para diferentes objetivos. Cada grupo emplea una variante de un método de inicio de sesión diseñado para dispositivos específicos.
La escala de estos grupos también varía ampliamente, algunos abarcan miles de dispositivos infectados, mientras que otros pueden incluir tan solo dos. Este hallazgo destaca la creciente complejidad y sofisticación de las amenazas cibernéticas globales.
Cambio de táctica y la importancia de una seguridad robusta/ El uso de routers SOHO (Small Office/Home Office) como puntos de entrada indica un cambio de táctica, con los atacantes aprovechando puntos finales más débiles para eludir las defensas de seguridad tradicionales de las empresas.
Los hallazgos de Microsoft resaltan la necesidad de medidas de seguridad robustas y monitoreo continuo para las organizaciones de todo el mundo. A medida que el alcance e impacto de Quad7 continúan creciendo, los expertos en ciberseguridad instan a las organizaciones a reforzar sus defensas, especialmente en la seguridad de routers y puntos finales de red que podrían actuar como puertas de entrada para estos ataques.
Fuente WEB | Editado por CambioDigital OnLine
