- Advertisement -spot_img

Los piratas informáticos utilizan como arma el portal de la policía de Baluchistán en campañas de espionaje multigrupo

Investigadores de ciberseguridad han revelado detalles de una actividad sostenida de ciberespionaje contra varias organizaciones policiales paquistaníes llevada a cabo por presuntos actores de amenazas alineados con China e India entre febrero de 2024 y abril de 2026.

“En la policía de Baluchistán, los activos comprometidos incluían servidores que albergaban aplicaciones web que gestionan datos policiales y ciudadanos, como registros criminales y biométricos”, dijo Aleksandar Milenkoski, investigador principal de amenazas de SentinelOne SentinelLABS, en un informe publicado esta semana.

La actividad se centró en dispositivos de red y servidores que alojan aplicaciones web que gestionan registros biométricos, registros de hoteles e inquilinos vinculados a registros nacionales de identidad, expedientes de casos penales y registros de personal.

También se dice que el actor de amenazas del nexo con China comprometió una de estas aplicaciones web para implementar un implante personalizado disfrazado de actualización del portal. La aplicación en cuestión, denominada Sistema de Gestión de Quejas (CMS), sirve al personal policial y a los ciudadanos, poniendo así a ambas categorías de usuarios en la órbita del atacante.

SentinelOne dijo que detectó infraestructura comprometida asociada con varias otras organizaciones policiales paquistaníes, incluida la policía de Khyber Pakhtunkhwa, la policía de Islamabad y la Autoridad de Ciudades Seguras de Punjab (PSCA).

Se han identificado cuatro grupos de amenazas diferentes, cada uno de los cuales implementa una familia de malware única: PlugX, ShadowPad, Cobalt Strike y Remcos RAT. El uso de Remcos RAT se ha vinculado a un actor de amenazas del nexo con la India, mientras que los clústeres PlugX, ShadowPad y Cobalt Strike se basan en herramientas compartidas o básicas y cada uno puede involucrar a más de un operador.

LEER  Superar riesgos del uso de herramientas de Genai chino

Dicho esto, el despliegue de PlugX y ShadowPad, el último de los cuales se considera un sucesor de PlugX, se asocia tradicionalmente con grupos de hackers de estados-nación chinos.

“La victimología que observamos para PlugX (entre el 27 de febrero y el 28 de septiembre de 2024) y ShadowPad (entre el 3 de agosto y el 1 de diciembre de 2024) refuerza esta evaluación”, afirmó la empresa de ciberseguridad.

“Más allá de la aplicación de la ley paquistaní, la victimología de PlugX y ShadowPad incluye entidades gubernamentales, de asuntos exteriores, de defensa, no gubernamentales y de investigación en todo el sur, sudeste, centro y este de Asia, la Península Arábiga y el sudeste de Europa, de acuerdo con la colección alineada con China”.

Se considera que el conjunto de intrusión relacionado con Remcos comparte infraestructura y superposiciones tácticas con un grupo de hackers conocido como Mysterious Elephant (también conocido como APT-C-08, APT-K-47 y TAG-179), que, a su vez, tiene puntos en común con adversarios del nexo con India como SideWinder, Confucius y Bitter.

Se ha descubierto que las cadenas de ataque emplean señuelos relacionados con las fuerzas del orden paquistaníes, mostrando un documento señuelo que pretende contener un plan operativo para la repatriación de extranjeros ilegales, incluidos los titulares de la Tarjeta de Ciudadano Afgano (ACC).

Los vínculos del grupo de actividad Cobalt Strike con los actores de amenazas del nexo con China se basan en el hecho de que el tráfico hacia el servidor de comando y control (C2) controlado por el atacante (“142.171.183(.)8”) se extiende más allá de la aplicación de la ley paquistaní hasta entidades gubernamentales, académicas, de telecomunicaciones y no gubernamentales en todo el sur, este y sudeste de Asia, Medio Oriente y Sudamérica, un perfil de victimología consistente con los piratas informáticos alineados con China.

LEER  VECT 2.0 Ransomware destruye irreversiblemente archivos de más de 131 KB en Windows, Linux y ESXi

Entre los objetivos se encuentran las organizaciones budistas tibetanas en Taiwán, que durante mucho tiempo han sido objeto de ciberespionaje por parte de China.

Un examen más detenido de la actividad dirigida a la policía de Baluchistán ha descubierto el compromiso de los siguientes activos que tuvo lugar entre el 2 de junio de 2024 y el 9 de abril de 2026:

  • Dos dispositivos de red
  • Servidores web que alojan varias aplicaciones web de la Policía de Baluchistán asociadas con la iniciativa de digitalización de la Comisaría de Policía Inteligente
  • Un dispositivo Fortinet FortiMail que sirvió como principal puerta de enlace de correo electrónico entrante de la agencia.

Una de las aplicaciones infectadas es el Sistema de Gestión de Quejas (“cms.baluchistanpolice.gov(.)pk”), que se utiliza para registrar, rastrear y resolver quejas de los ciudadanos. Se han subido al sitio dos variantes distintas de un implante llamado “cms_plugin.exe” en relación con la operación:

  • Un stager de Rust que está diseñado para descargar una carga útil adicional de “193.42.25(.)65” y ejecutarla. Se desconoce la naturaleza exacta de la siguiente etapa, pero los ejemplos muestran un mensaje “¡Actualización completa! Actualice la página” al ejecutarse, imitando una actualización del portal CMS.
  • Un ejecutable .NET que se hace pasar por “360Safe.exe”, un binario legítimo utilizado por Qihoo 360 Total Security, para cargar de forma reflexiva un ensamblado que implementa un cliente AsyncRAT.

La actividad es notable porque ha atraído a un “socio y un adversario de Pakistán” hacia la misma víctima para recopilar información de inteligencia, probablemente impulsada por motivos geopolíticos.

“Cuando múltiples actores de ciberespionaje operan contra las instituciones encargadas de hacer cumplir la ley de un solo Estado, la convergencia en sí misma es una señal del valor del objetivo”, explicó Milenkoski. “Lo que los atrae es un tipo particular de institución: una que posee el panorama de seguridad interna del gobierno, lo que sabe sobre las amenazas dentro de sus fronteras y cómo actúa contra ellas”.

LEER  El nuevo malware EddiDiDeSpaler omite el cifrado de la aplicación de Chrome para robar datos del navegador

“El compromiso de la aplicación web del Sistema de Gestión de Quejas añade una segunda dimensión a la actividad contra la policía de Baluchistán, extendiendo el alcance del actor de amenazas más allá del entorno inicialmente comprometido. Al alojar implantes en un portal utilizado tanto por ciudadanos como por personal encargado de hacer cumplir la ley, el actor de amenazas convirtió una herramienta creada para hacer que la policía en Pakistán sea más accesible y responsable ante el público en un mecanismo de entrega de malware”.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Comparación de los principales destinos vacacionales de Europa: ¿Dónde son más...

Una comida junto al mar, una habitación de hotel o una copa de vino pueden costar cantidades...

Noticias relacionadas

- Advertisement -spot_img