Las primeras campañas conocidas del APT Naikon
Por más de una década el APT Naikon lanzó múltiples campañas de ataques contra blancos críticos en el sudeste asiático y alrededor del sur del mar de China, manteniendo una acometedora ofensiva en Myanmar, Vietnam, Singapur, Filipinas, Malasia y Laos. Entre sus blancos y víctimas se encontraban agencias y departamentos gubernamentales de ASEAN, firmas inversionistas, fuerzas armadas, autoridades y organizaciones de control de fronteras, embajadas, catedráticos y otros.
Algunas campañas han sido objeto de análisis público según la naturaleza de sus herramientas; por ejemplo, las puertas traseras MsnMM comenzaron con nombres internos, como “WinMM” y “SslMM”, y con nombres fraudulentos de sus archivos, como MSN Talk y Msn Gaming Zone; el término “naikon” deriva de la cadena del agente de usuario “NOKIAN95”. Pero las puertas traseras msnMM, naikon, sakto y rarstone son utilizadas por el mismo actor, al que llamamos APT Naikon. Sus herramientas de segunda etapa permanecieron desconocidas por largo tiempo, pero este informe incluye una lista de ellas.
Los atacantes de Naikon buscaban extraer datos geopolíticos, militares y económicos de importancia crítica, interceptar comunicaciones y vigilar a sus víctimas mediante las campañas MsnMM. Paulatinamente, sus herramientas y técnicas experimentaron muchos cambios menores, y sus operadores parecían ser chinos. La infraestructura del grupo se basaba en aplicaciones web localizables principalmente mediante dominios dns dinámicos, y que se solapaban de una a otra campaña. Como describimos anteriormente, los métodos y tecnologías del APT, aunque sencillos, son altamente efectivos contra las defensas de sus blancos, pero aún no hemos encontrado ninguno de día cero.
Una buena parte del contenido de documentos carnada y spear-phish de Naikon, así como su despliegue, coincidieron aproximadamente con acontecimientos geopolíticos determinantes. La lista congruente de blancos militares, económicos y políticos develó los intereses de los atacantes. Las primeras campañas de Naikon instalaban las puertas traseras exe_exchange, winMM y sys10; la base de código se compiló posteriormente dando lugar a más herramientas personalizadas. Las campañas MsnMM se lanzaron a principios de 2014, para detenerse por un tiempo y retomar su vigor a fines de ese año y en 2015.
Respecto a su interacción con otros APTs, resulta interesante observar que las víctimas del APT Naikon se solapan con las víctimas del APT Cycldek. Cycldek es otro ataque APT persistente pero menos vigoroso. Además, el perfil de las víctimas del APT30 no sólo coincide con el de las del APT Naikon, sino que sus herramientas también comparten similitudes notables, aunque menores. Y las posteriores campañas de Naikon condujeron a una confrontación con el APT Hellsing, cuando “el imperio contratacó”.
Aunque se han analizado algunos aspectos de este programa malicioso en algunos blogs y documentos, no hay un informe preciso que relacione las campañas MsnMM, Sys10 y Naikon como el trabajo de un solo grupo, el APT NAikon. Por último, mientras que este informe se refiere a sus actividades pasadas, el APT Naikon permanece activo e instalando una base de código nueva. Entre los principales blancos de este año que conocemos, aparecen organizaciones en Myanmar, Camboya, Vietnam, Tailandia y Laos.
El APT Naikon y las campañas MsnMM