China ha responsabilizado a las autoridades del Partido Democrático Progresista (PPD) de Taiwán por una serie de ciberataques de alta complejidad, presuntamente llevados a cabo por grupos de Amenaza Persistente Avanzada (APT). Según China, estos grupos, denominados «T-APT», estarían respaldados por el Comando de Fuerza Electrónica, de Información y Comunicaciones (ICEFCOM) de Taiwán y mantendrían una estrecha relación con Estados Unidos.
El informe describe cómo estas entidades han estado llevando a cabo ciberespionaje y sabotaje a largo plazo contra infraestructura crítica, organismos gubernamentales e industrias clave en China continental, Hong Kong y Macao.
El objetivo principal, como se dijo, es robar inteligencia sensible relacionada con la defensa, la diplomacia y la investigación científica de vanguardia, para luego vender estos datos a fuerzas anti-China en el extranjero.
Además, estos grupos están acusados de colaborar con el gobierno y el ejército de Estados Unidos para librar una guerra cibernética, manipulación de la opinión pública y guerra cognitiva contra China, actuando como representantes de la llamada “revolución de color”.
Profundizando en los aspectos técnicos, el informe identifica cinco grupos T-APT específicos: APT-C-01 (Poison Vine), APT-C-62 (Viola Tricolor), APT-C-64 (Anonymous 64), APT-C-65 (Neon Pothos) y APT-C-67 (Ursa), cada uno con distintos patrones de ataque y objetivos que van desde agencias gubernamentales y sectores de defensa hasta universidades, transporte y sistemas de IoT como redes de videovigilancia.
Sus tácticas, técnicas y procedimientos (TTP) incluyen campañas de phishing con documentos señuelo cuidadosamente elaborados y sitios web que imitan servicios nacionales legítimos.
Explota vulnerabilidades conocidas en software ampliamente utilizado, como Microsoft Windows y Office, e implementa herramientas comerciales y de código abierto como Cobalt Strike, QuasarRAT y Sliver RAT para acceso inicial, persistencia y movimiento lateral dentro de redes comprometidas.
Por ejemplo, APT-C-01 se ha destacado por sus ataques de phishing durante eventos importantes como la pandemia de COVID-19, utilizando temas como la vacunación y códigos QR de salud, mientras que APT-C-67 apunta a sistemas de IoT para recopilar inteligencia cibernética y geográfica.
El informe destaca la dependencia de los grupos de herramientas disponibles públicamente y la falta de exploits de día cero, lo que indica capacidades limitadas de armamento independiente, pero su coordinación con las maniobras políticas del PPD, especialmente durante las interacciones de alto perfil entre Estados Unidos y Taiwán, demuestra una alineación estratégica con las agendas de “independencia de Taiwán”.
Según China, estos grupos, denominados «T-APT», estarían respaldados por el Comando de Fuerza Electrónica, de Información y Comunicaciones (ICEFCOM) de Taiwán y mantendrían una estrecha relación con Estados Unidos.
Además, China afirma que los esfuerzos de estos grupos por manipular medios digitales y difundir contenido disruptivo durante eventos como los Juegos Asiáticos de Hangzhou 2023 evidencian una intención de desestabilizar el orden social.
El ICEFCOM, establecido en 2017 bajo la administración de Tsai Ing-wen, es señalado como el organismo encargado de integrar las capacidades cibernéticas militares y civiles de Taiwán, contando con más de 6.000 efectivos y profundas conexiones con las fuerzas cibernéticas estadounidenses.
El informe concluye con una firme advertencia: China promete rastrear de manera implacable a estos grupos y a sus colaboradores, utilizando todos los medios necesarios para llevarlos ante la justicia.
Indicadores de compromiso (IoC)
Hash:
- Cargador Shellcode: 7873dd9a900290ff163343e2d06f93c9
- Bypass: 214888402b3cb924e40035d1b4bafc85
- QuasarRAT: cc1cdb893f6b4a00d65bbef2794b0499
- Sliver: 61c42751f6bb4efafec524be23055fba
Servidores C2: 51…162, 120…211, 180…219, 158…174, 1…214
