El equipo de seguridad de Facebook ha revelado hoy la identidad real de APT32, un grupo de piratas informáticos respaldado por Vietnam activo en campañas de ciberespionaje dirigidas a gobiernos extranjeros, corporaciones multinacionales y periodistas desde al menos 2014.

Los piratas informáticos del estado-nación APT32 fueron vinculados a la firma de TI vietnamita CyberOne Group en un informe publicado hoy por Nathaniel Gleicher, Jefe de Política de Seguridad de Facebook, y Mike Dvilyanski, Gerente de Inteligencia de Amenazas Cibernéticas.

“Nuestra investigación vinculó esta actividad con CyberOne Group, una empresa de TI en Vietnam (también conocida como CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet y Diacauso)”, dijeron.

“Como ya han informado nuestros socios de la industria, APT32 ha desplegado una amplia gama de tácticas adversas en Internet. Hemos estado rastreando y tomando medidas contra este grupo durante varios años”.

Después de hacer la conexión entre el grupo APT y la firma de TI vietnamita, Facebook agregó todos los dominios asociados con las dos entidades a una lista de bloqueo global para evitar que se compartan en la red social.

Facebook también eliminó todas las cuentas asociadas con el grupo de su plataforma y notificó a las personas que pueden haber sido blanco de APT32.

Tácticas, técnicas y procedimientos de APT32

El informe también detalla algunos de los TTP APT32 más importantes utilizados a lo largo de los años, incluida la ingeniería social, así como el uso de aplicaciones maliciosas de Android Play Store y abrevaderos para comprometer los dispositivos de sus objetivos y usarlos para una “vigilancia amplia”.

Los operadores de APT32 se han hecho pasar por empresas y activistas en varias plataformas en línea y han utilizado estas personas falsas para evadir la detección incluso cuando los investigadores de seguridad los examinan.

“Algunas de sus páginas fueron diseñadas para atraer a seguidores particulares para su posterior orientación de phishing y malware”, dice el informe.

Los abrevaderos de APT32 se utilizaron para entregar cargas útiles de malware personalizadas capaces de apuntar a plataformas específicas (es decir, Windows y macOS) y ataques dirigidos a varias personas y organizaciones, que incluyen:

  • Activistas vietnamitas de derechos humanos a nivel local y en el extranjero
  • Varios gobiernos extranjeros, incluidos los de Laos y Camboya
  • Organizaciones no gubernamentales,
  • Agencias de noticias
  • Empresas de varios sectores industriales (por ejemplo, tecnología de la información, hotelería, hospitales, comercio minorista, industria automotriz y servicios móviles)

“La última actividad que investigamos e interrumpimos tiene el sello de una operación persistente y con buenos recursos que se enfoca en muchos objetivos a la vez, mientras que confunde su origen”, agregaron los dos ejecutivos de Facebook.

“Compartimos nuestros hallazgos, incluidas las reglas YARA y las firmas de malware con nuestros pares de la industria, para que ellos también puedan detectar y detener esta actividad”.

Campañas e historial de APT32

APT32 es un grupo de amenazas persistentes avanzadas respaldado por Vietnam (también rastreado como OceanLotus y SeaLotus) que se sabe que se ha dirigido a empresas extranjeras que invierten en múltiples sectores de la industria de Vietnam.

También se sabe que los piratas informáticos del estado-nación han estado detrás de los ataques contra una larga lista de institutos de investigación de todo el mundo, organizaciones de medios de comunicación, varias organizaciones de derechos humanos y empresas de construcción marítima chinas. [1, 2, 3, 4, 5, 6, 7]

El año pasado, también violaron las redes de múltiples subsidiarias de ventas de Toyota y Lexus para acceder a la información personal de aproximadamente 3,1 millones de clientes de Toyota, así como las redes de BMW y Hyundai.

También fueron vinculados por la firma de servicios de respuesta a ataques cibernéticos e inteligencia de amenazas Crowdstrike a ataques contra objetivos automotrices en un informe publicado en octubre de 2019.

Más recientemente, APT32 llevó a cabo ataques de spear-phishing dirigidos al Ministerio de Gestión de Emergencias de China y al gobierno de la provincia de Wuhan en un intento de recopilar inteligencia sobre la actual crisis de COVID-19.