Microsoft advierte sobre una campaña de espionaje basada en China dirigida a Taiwán

Microsoft descubrió una campaña de ciberespionaje dirigida a organizaciones en Taiwán, atribuida a un grupo de actores de amenazas con sede en China llamado Flax Typhoon. Según la empresa, Flax Typhoon ha estado activo desde 2021, apuntando a agencias gubernamentales y empresas de educación, manufactura, TI y otros sectores.

La campaña explota las vulnerabilidades de los servidores conectados a Internet para obtener acceso inicial a las redes objetivo. Los atacantes utilizan exploits para implementar shells web, lo que les permite ejecutar comandos en sistemas comprometidos de forma remota. Una vez dentro de la red, Flax Typhoon utiliza varias técnicas para establecer un acceso persistente.

Un método clave es comprometer las conexiones de escritorio remoto al «deshabilitar la autenticación a nivel de red y secuestrar la función Sticky Keys». Esto permite a los atacantes acceder a los sistemas de forma remota incluso después de reiniciar. El grupo también instala software VPN para crear un túnel en la red para su control.

Flax Typhoon se dirige a la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS) y al subárbol del registro del Administrador de cuentas de seguridad (SAM). Ambos almacenes contienen contraseñas hash para los usuarios que iniciaron sesión en el sistema local.

Flax Typhoon implementa con frecuencia Mimikatz, un malware disponible públicamente que puede volcar automáticamente estos almacenes cuando no están protegidos adecuadamente. Los hash de contraseña resultantes se pueden descifrar fuera de línea o usarse en ataques pass-the-hash (PtH) para acceder a otros recursos en la red comprometida.

Después de establecer persistencia, Flax Typhoon se centra en robar credenciales. El grupo enumera puntos de restauración del sistema, que probablemente comprendan la red comprometida y eliminen rastros de su actividad. Sin embargo, Microsoft dice que no han observado el progreso de los atacantes para lograr mayores objetivos de filtración de datos.

Microsoft afirma que notificó directamente a los clientes específicos y proporcionó capacidades de detección a través de Microsoft 365 Defender . Sin embargo, defenderse de esta amenaza es un desafío ya que el grupo depende en gran medida de cuentas válidas y herramientas legítimas.

La noticia llega mientras el gobierno de EE. UU. investiga el papel de Microsoft en la filtración de correo electrónico respaldada por China . Un panel asesor de ciberseguridad de EE. UU. está investigando riesgos potenciales en la computación en la nube, incluido el papel de Microsoft en la violación.