El Grupo de Hackers Earth Estries Apunta a Industrias Globales en Campañas de Espionaje

Earth Estries, un grupo de hackers chinos, se dirige a industrias globales con malware avanzado, explotando vulnerabilidades y realizando espionaje a largo plazo en sectores críticos.

Salt Typhoon ha ganado recientemente atención por una campaña de espionaje vinculada a China que ha comprometido a gigantes de las telecomunicaciones de EE.UU. como Verizon, AT&T, Lumen Technologies y T-Mobile, según se señala en The Record. Los atacantes supuestamente accedieron a los datos de llamadas de los clientes, centrándose en individuos vinculados a actividades gubernamentales o políticas.

El lunes, la empresa de ciberseguridad Trend Micro informó de otra campaña vinculada a Earth Estries, su término para Salt Typhoon, que está atacando a las telecomunicaciones del sudeste asiático con una nueva herramienta de puerta trasera llamada GhostSpider.

El grupo chino de ciberespionaje, Earth Estries, ha estado atacando a industrias críticas a nivel mundial, incluyendo los sectores de telecomunicaciones y gubernamentales, desde 2023.

El grupo ha infiltrado más de 20 organizaciones en todo EE.UU., Asia-Pacífico, Oriente Medio y Sudáfrica, empleando técnicas avanzadas para realizar operaciones de espionaje a largo plazo. Las víctimas incluyen también empresas de tecnología, consultoría, química y transporte, así como organizaciones sin fines de lucro y agencias gubernamentales.

Earth Estries explota vulnerabilidades en servidores de acceso público para obtener un acceso inicial, utilizando herramientas legítimas del sistema, conocidas como “binarios que viven de la tierra”, para moverse sin ser detectados dentro de las redes.

Una vez dentro, el grupo despliega malware personalizado como GHOSTSPIDER, SNAPPYBEE y MASOL RAT para establecer control y extraer información sensible.

Ataques recientes han revelado que GHOSTSPIDER, un backdoor modular, está diseñado para cargar diferentes herramientas para tareas específicas, permitiendo al grupo adaptar sus tácticas mientras evita la detección. Las operaciones del grupo muestran un alto nivel de coordinación, con diferentes equipos gestionando aspectos específicos de sus campañas.

Las coincidencias en sus tácticas, técnicas y procedimientos con otros grupos de hackers chinos sugieren el uso compartido de herramientas, posiblemente a través de mercados clandestinos que ofrecen malware como servicio.

Las investigaciones sobre Earth Estries han destacado su enfoque en las redes de telecomunicaciones y gubernamentales, a menudo apuntando a sistemas de proveedores para obtener acceso indirecto a sus objetivos primarios.

En un caso, utilizaron el rootkit DEMODEX para comprometer máquinas pertenecientes a un importante contratista de telecomunicaciones, lo que les permitió expandir su alcance sin ser detectados.

Los analistas señalan que las operaciones de Earth Estries se extienden desde dispositivos periféricos hasta sistemas en la nube, lo que los hace particularmente difíciles de identificar y mitigar.

Sus técnicas incluyen explotar las vulnerabilidades del servidor y desplegar herramientas sofisticadas para mantener la persistencia dentro de las redes de sus objetivos. Los expertos advierten que las actividades de Earth Estries demuestran la creciente complejidad de las campañas de ciberespionaje.

Se insta a las organizaciones a fortalecer sus defensas de ciberseguridad abordando las vulnerabilidades conocidas, monitoreando la actividad de la red y desplegando sistemas avanzados de detección de amenazas para detectar y bloquear los ataques temprano en el proceso.

Trend Micro enfatiza la necesidad de medidas proactivas a medida que Earth Estries continúa evolucionando sus estrategias, representando una seria amenaza para las industrias globales y los gobiernos por igual.