Ciberdelincuentes presuntamente chinos están utilizando el popular reproductor multimedia VLC para distribuir malware y espiar a agencias gubernamentales y otras organizaciones, según expertos de seguridad.
BleepingComputer afirma que un grupo de ciberdelincuentes llamado Cicada — también conocido como Stone Panda y APT10 — está atacando a organizaciones gubernamentales, legales y ONGs, así como algunas organizaciones dedicadas a "actividades religiosas".
Estas organizaciones se encuentran principalmente en Estados Unidos, Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia. Japón ha sido tradicionalmente el principal territorio de caza de Cicada y ahora los investigadores piensan que el grupo está ampliando territorio.
Ataques más amplios
Cicada — cigarra — también parecen estar atacando a más industrias. Históricamente el grupo se ha centrado en empresas de los sectores sanitario, aeroespacial, financiero, marítimo, biotecnológico, energético y de defensa.
El malware utilizado en esta última ronda de ataques no tiene nombre pero los investigadores de Symantec — que fueron los que lo han descubierto — creen que se está utilizando para el espionaje.
Aparentemente, Cicada utilizó una conocida vulnerabilidad del servidor de Microsoft Exchange para obtener acceso inicial. La campaña comenzó a mediados de 2021 y aún podría estar en curso.
Brigid O Gorman de Symantec, declaró a Bleeping Computer que los atacantes "cargaron lateralmente" el malware utilizando una versión limpia de VLC con un archivo DLL malicioso en la misma ruta que las funciones de exportación del reproductor multimedia.
Además del malware, Cicada también desplegó un servidor WinVNC para el control remoto de los PC y el backdoor Sodamaster.
Entre los datos que Cicada recoge con el malware están los detalles del sistema y los procesos activos. También puede descargar y ejecutar diferentes cargas útiles.