El actor amenaza Naikon ha pasado los últimos cinco años infiltrándose en las organizaciones nacionales en toda la zona Mar de China Meridional, desde la creación de la infraestructura de espionaje en las fronteras de un país y las conexiones en tiempo real y minería de datos, con herramientas de espionaje con 48 comandos.
Según los analistas, los ciberatacantes de Naikon parecen ser de habla china y sus objetivos principales son organismos gubernamentales de alto nivel y las organizaciones civiles y militares en países como Filipinas, Malasia, Camboya, Indonesia, Vietnam, Myanmar, Singapur, Tailandia, Laos, China y Nepal.
Kaspersky Lab ha identificado las siguientes características en las operaciones Naikon:
- Cada país al que se dirigen los ataques tienen un operador humano designado, cuyo trabajo es tomar ventaja de los aspectos culturales del país como utilizar cuentas de correo electrónico personales para el trabajo;
- La colocación de la infraestructura (un servidor proxy) dentro de las fronteras del país para proporcionar apoyo diario para las conexiones en tiempo real y exfiltración de datos;
- Al menos cinco años de alto volumen de actividad geopolítica dirigida a víctimas de alto perfil
- Plataforma de código independiente y capacidad para interceptar todo el tráfico de la red;
- Un total de 48 comandos en el repertorio de administración remota, incluyendo comandos para efectuar un inventario completo, la descarga y carga de datos, la instalación de módulos adicionales, o trabajar con la línea de comandos.
Naikon fue mencionado por primera vez por Kaspersky Lab en su reciente informe, “Las crónicas de la APT Hellsing: El Imperio Contraataca”, donde el actor desempeñó un papel fundamental en lo que resultó ser una historia única sobre el retorno de la inversión en el mundo de las amenazas persistentes avanzadas. Hellsing es otro actor amenaza que decidió tomar venganza cuando es golpeado por Naikon.
“Los cibercriminales que están detrás de los ataques Naikon lograron diseñar una infraestructura muy flexible que se puede configurar en cualquier país de destino, con la información de los sistemas de túneles al centro de mando. Si los atacantes luego deciden perseguir otro objetivo en otro país, se podría establecer una nueva conexión. Tener operadores dedicados, enfocados en sus objetivos particulares también hace las cosas fáciles para el grupo de espionaje Naikon”- afirma Kurt Baumgartner, analista principal de seguridad de Kaspersky Lab.
Los objetivos de Naikon son atacados utilizando técnicas spear-phishing tradicionales, con correos electrónicos complementados con diseños cuyo fin es despertar el interés de la víctima potencial. Este accesorio puede parecer como un documento de Word, pero en realidad es un archivo ejecutable con doble extensión.
Kaspersky Lab aconseja a las organizaciones protegerse contra Naikon de la siguiente manera:
- No abrir archivos adjuntos y enlaces de personas desconocidas
- Use una solución antimalware avanzado
- Si no estás seguro de de los datos adjuntos, abrirlos en una sandbox
- Asegúrate de tener una versión actualizada, fecha del sistema operativo con todos los parches instalados
