Ink Dragon: La Amenaza de Espionaje Chino que se Expande Globalmente
Un nuevo análisis revela cómo Ink Dragon está ampliando su red de espionaje desde el Sudeste Asiático y Sudamérica hacia instituciones gubernamentales de Europa. Descubre cómo operan y las tácticas que utilizan para convertirse en una amenaza latente.
Ink Dragon, un grupo de espionaje originario de China, está extendiendo sus operaciones al infiltrarse en redes gubernamentales de Europa, aprovechando debilidades en configuraciones de servidores públicos.
Tácticas de Intrusión de Ink Dragon
Investigaciones recientes por parte de Check Point Research han revelado que Ink Dragon utiliza vulnerabilidades en plataformas como IIS y SharePoint para crecer sigilosamente. Su método incluye la utilización de una puerta trasera conocida como FinalDraft, que se mimetiza en borradores de Microsoft para evitar detección.
Cómo Operan
Los atacantes analizan las estructuras administrativas, reutilizan credenciales obtenidas y aseguran accesos prolongados a través de servidores ya comprometidos, formando una red de víctimas interconectadas que les permite llevar a cabo sus actividades con mayor flexibilidad.
Evolución de su Estrategia de Ataque
Ink Dragon ha perfeccionado su técnica explotando fallas en IIS y SharePoint, integrando sus actividades en tráfico HTTP normal para evadir sistemas de defensa. Esta metodología ha permitido una supervivencia prolongada y estable de su infraestructura, tal como explican los especialistas en ciberseguridad.
FinalDraft y sus Implicaciones
La puerta trasera FinalDraft no solo optimiza el sigilo de las operaciones, sino que también facilita el intercambio de datos en horarios inactivos, lo que complica la detección de intrusiones. Esta técnica crea un entorno propicio para la ejecución de operaciones a largo plazo.
Colaboración con Otras Amenazas
Es notable la superposición de Ink Dragon con el grupo RudePanda. Ambos aprovechan vulnerabilidades similares en servidores gubernamentales, evidenciando problemas de seguridad persistentes que pueden atraer múltiples APT en la misma red.
Un Modelo de Espionaje en Evolución
Los especialistas indican que este enfoque demuestra una madurez en el espionaje cibernético, lo que representa un desafío significativo para los equipos de ciberseguridad que deben desmantelar toda la cadena de retransmisión para neutralizar la amenaza.
