Anchor Panda.

Este actor de amenazas se dirige a entidades gubernamentales y del sector privado interesadas en cuestiones marítimas en el Mar del Sur de China con fines de espionaje.

NombresAnchor Panda (CrowdStrike) 
APT 14 (Mandiant) 
APT 40 / Periscope (FireEye)
Aluminium (Microsoft) 
QAZTeam 
PaísChina
MotivaciónRobo de información y espionaje.
DescripciónAnchor Panda se encuentra activo al menos desde principios del 2013. Sus acciones, con fines de espionaje militar y económico, originalmente apuntaron a operaciones dirigidas contra entidades gubernamentales y del sector privado, interesadas en asuntos marítimos, que operan en y alrededor del Mar del Sur de China, área de operaciones de la armada del EPL  (Ejército Popular Chino) estratégicamente importante y foco de disputas entre China y otros estados.
 
Además de las operaciones marítimas realizadas en esta región, los principales objetivos parecen ser empresas estadounidenses en ingeniería, transporte y defensa, aunque esta APT también se ha dirigido a otras organizaciones en todo el mundo incluidos objetivos específicos de países estratégicamente importantes para la Iniciativa Belt and Road (BRI), iniciativa de inversión transnacional en infraestructuras, incluidos Bélgica, Alemania, Hong Kong, Filipinas, Malasia, Noruega, Arabia Saudita, Suiza, el Reino Unido y Camboya, donde se incluyen ataques que comprometen a entidades gubernamentales a cargo de supervisar elecciones allí. 
 
Si bien en un principio se sospechaba que la actividad de esta APT estaba vinculada al gigante asiático, la forma en que el grupo selecciona sus objetivos, entre otros factores, ha llevado a los investigadores a afirmar, casi con total seguridad, que este grupo de ciberespionaje cuente directamente con el respaldado del estado chino y que por lo tanto trabaje para la Armada del Ejército Nacional de China. La hora del día en que el grupo está activo también sugiere que su base de operaciones se encuentra cerca de Beijing. 
 
Campaña contra universidades

En una campaña iniciada en 2017 los piratas informáticos chinos dirigieron sus ataques a más de dos docenas de universidades en los EE. UU. Y  en todo el mundo, como parte de un elaborado plan para robar la investigación sobre la tecnología marítima que se está desarrollado para uso militar, con el objetivo de impulsar el crecimiento de la industria naval china. El Instituto de Tecnología de Massachusetts (MIT), la Universidad de Hawái, la Universidad Estatal de Pensilvania, la Universidad de Duke y la Universidad de Washington se encuentran entre las 27 instituciones en los EE. UU.
 
Anchor Panda, se describe como un «grupo de ciberespionaje moderadamente sofisticado» que combina el acceso a recursos de desarrollo »significativos’ con la capacidad de aprovechar las herramientas disponibles públicamente. Al igual que muchas campañas de espionaje, gran parte de la actividad de APT40 comienza intentando engañar a los objetivos con correos electrónicos de phishing, antes de implementar malware como el troyano Gh0st RAT, Poison Ivy y Torn.
MalwareGh0st RAT
Poison Ivy
Torn RAT. 
Información
·      https://redskyalliance.org
·      https://www.insidehighered.com
·      https://www.fireeye.com
·      https://securityaffairs.co/
Si te ha gustado, ayúdame a difundirlo :)