Evasive Panda exfiltra datos de servicios en la nube aprovechando robo de cookies de sesión

ESET identificó un conjunto de herramientas post-compromiso utilizado por Evasive Panda para atacar una entidad gubernamental y una organización religiosa en Taiwán entre 2022 y 2023.

Este conjunto de herramientas es capaz de recuperar datos de varios servicios en la nube aprovechando las cookies de sesión web robadas.

Evasive Panda (también conocido como BRONZE HIGHLAND, Daggerfly o StormBamboo) es un grupo APT alineado con China, que opera al menos desde 2012. Su objetivo es el ciberespionaje contra países y organizaciones que se oponen a los intereses de China a través de movimientos independentistas como los de la diáspora tibetana, instituciones religiosas y académicas en Taiwán y en Hong Kong, y partidarios de la democracia en China.

En ocasiones también se ha observado que sus operaciones de ciberespionaje se extienden a países como Vietnam, Myanmar y Corea del Sur.

Puntos clave de la investigación

– El conjunto de herramientas CloudScout fue detectado en Taiwán, entre 2022 y 2023, en la red de una institución religiosa y en una entidad gubernamental.

– CloudScout utiliza cookies robadas, proporcionadas por plugins de MgBot, para acceder y exfiltrar datos almacenados en varios servicios en la nube.

– ESET analizó tres módulos de CloudScout, cuyo objetivo es robar datos de Google Drive, Gmail y Outlook, se cree que existen al menos siete módulos adicionales.

– Los campos codificados en las solicitudes web de CloudScout para robar mensajes de correo electrónico de Outlook sugieren que las muestras en cuestión se diseñaron para usuarios taiwaneses.

A principios de 2023, ESET detectó que Evasive Panda desplegaba tres módulos .NET desconocidos hasta entonces (denominados internamente CGD, CGM y COL) en una entidad gubernamental de Taiwán.

Estos módulos están diseñados para acceder a servicios públicos en la nube como Google Drive, Gmail y Outlook mediante el secuestro de sesiones web autenticadas. Esta técnica se basa en el robo de cookies de la base de datos de un navegador web y su posterior uso en un conjunto específico de solicitudes web para obtener acceso a los servicios en la nube.

A diferencia de las credenciales robadas, que pueden ser bloqueadas por funciones de seguridad como la autenticación de dos factores (2FA) y el rastreo de IP, las cookies de sesión web robadas permiten al atacante recuperar datos almacenados en la nube, directamente desde la máquina de la víctima.

En 2023, Google publicó el proyecto Device Bound Session Credentials (DBSC) en GitHub y, en 2024, la función App-Bound Encryption en la actualización 127 de Chrome. Se trata de medidas de protección contra el malware de robo de cookies, como CloudScout, y podrían dejar obsoleto este conjunto de herramientas.

En un análisis más detallado del código de los tres módulos se revela un marco de desarrollo subyacente, cuyo nombre en código es CloudScout.

ESET ofrece un análisis detallado de este marco modular programado en C#, que hasta donde se sabe, el conjunto de herramientas CloudScout no ha sido documentado públicamente con anterioridad.

Según la telemetría de ESET, CloudScout fue observado en dos incidentes dirigidos a Taiwán. En mayo de 2022, la red de una institución religiosa taiwanesa fue comprometida con MgBot y Nightdoor.

En este incidente, MgBot se utilizó para instalar un complemento que despliega un módulo CloudScout. En febrero de 2023, se detectaron módulos CloudScout y el implante Nightdoor en lo que se sospecha que es una entidad gubernamental taiwanesa.

Además, ESET identificó en algunas peticiones HTTP hardcoded la inclusión de Taipei Standard Time como zona horaria y zh-CN como paquete de idioma. Ambos sugieren que estas muestras fueron creadas para dirigirse a usuarios taiwaneses.

Desde ESET hemos destacado el diseño profesional que hay detrás del marco CloudScout para demostrar las capacidades técnicas de Evasive Panda y el importante papel que desempeñan los documentos almacenados en la nube, los perfiles de usuario y el correo electrónico en sus operaciones de espionaje”, concluye Gutierrez Amaya de ESET Latinoamérica.