Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

El grupo APT15 lleva utilizando desde hace más de dos años un backdoor, llamada Okrum, para atacar misiones diplomáticas

  • Publicado: 24/07/2019
  • Importancia: Media

Recursos afectados

Se atribuye este ataque al grupo de origen asiático APT15, también conocido como Ke3Chang, Mirage, Plaful Dragon o Vixen Panda, que inició su actividad en el año 2010 y parece estar operando desde China.
Desde entonces han utilizado tres tipos de malware a lo largo de los años en diferentes campañas, teniendo como objetivo a la industria aeroespacial, de energía, organizaciones diplomáticas, gobiernos, empresas de alta tecnología, servicios de consultoría y sectores de la industria química, minera y manufacturera. Sin embargo, debido a su carácter individual y selectivo, el número de ataques ha sido bastante escaso.

Okrum actúa como un malware de primera etapa para instalar Ketrican en los equipos comprometidos. Su carga útil, una DLL maliciosa encriptada que se comunica a través del protocolo HTTP mediante las solicitudes GET, POST y HEAD, con el fin de burlar las defensas, se esconde e incrusta en una imagen PNG de aspecto inofensivo.