A lo largo del 2023, Proofpoint, una empresa líder en el ámbito de la ciberseguridad y el cumplimiento normativo, ha identificado un crecimiento en la propagación de malware a través de emails que utilizan señuelos en idioma chino. Entre los malwares destacados se encuentra el troyano de acceso remoto (RAT) Sainbox, una variante del ya conocido Gh0stRAT, junto con el malware ValleyRAT, recientemente descubierto.
Los correos interceptados abordan, en su mayoría, asuntos empresariales relacionados con facturas, pagos y la introducción de nuevos productos. Estos ataques van dirigidos principalmente a usuarios que hablan el idioma chino y que utilizan caracteres chinos en sus nombres, además de aquellos con correos asociados a empresas internacionales que tienen presencia en China. Sin embargo, la amenaza no se limita únicamente a China, ya que también se ha detectado una campaña dirigida específicamente al público japonés, lo que sugiere una expansión geográfica de los ciberdelincuentes.
A través de un análisis exhaustivo, Proofpoint concluyó que, si bien existen similitudes en las tácticas y técnicas utilizadas en las campañas de distribución de Sainbox RAT y ValleyRAT, es improbable que provengan de un único grupo de ciberdelincuentes. Esto indica una tendencia al alza en el uso de malwares con temáticas chinas en el escenario actual de ciberseguridad.
En relación a las estrategias empleadas por estos delincuentes, han adoptado una serie de métodos que varían en complejidad. La mayoría de los correos llevan enlaces que direccionan a los usuarios hacia ejecutables comprimidos responsables de instalar el malware. No obstante, han ampliado su repertorio con envíos de archivos adjuntos en formatos como Excel y PDF que llevan a enlaces similares.
El equipo de expertos de Proofpoint advierte sobre la actual situación: «La reaparición de una variante de Gh0stRAT, presente durante más de una década, subraya la tenacidad y adaptabilidad de ciertos malwares». Añaden: «A pesar de que las organizaciones suelen enfocarse en amenazas recientes y de mayor complejidad, no deben desestimar aquellas que parecen menos avanzadas o antiguas. Aunque el software malicioso puede no ser nuevo, los ciberdelincuentes continúan adaptando sus estrategias, haciendo que estos riesgos mantengan su relevancia». Es un recordatorio para las organizaciones de mantenerse alerta y preparadas frente a toda clase de amenazas cibernéticas.
