Red Apollo (también conocido como APT 10 (por Mandiant ), MenuPass (por Fireeye ), Stone Panda (por Crowdstrike ) y POTASSIUM (por Microsoft )) [1] [2] es un grupo de ciberespionaje patrocinado por el estado chino . Un auto de procesamiento 2018 por el Departamento de Justicia de Estados Unidos afirmó que el grupo está vinculado a la oficina local de Tianjin del gobierno chino 's Ministerio de Seguridad del Estado , que opera desde el año 2006. [3]
El equipo fue designado por Fireeye como una amenaza persistente avanzada . Fireeye afirma que apuntan a empresas aeroespaciales, de ingeniería y de telecomunicaciones y a cualquier gobierno que crean que es un rival de China .
Fireeye declaró que podrían estar apuntando a la propiedad intelectual de instituciones educativas como una universidad japonesa y es probable que expandan sus operaciones al sector educativo en las jurisdicciones de naciones aliadas con Estados Unidos . [4] Fireeye afirmó que fueron rastreados desde 2009, sin embargo, debido a la naturaleza de baja amenaza que habían planteado, no eran una prioridad. Fireeye ahora describe al grupo como "una amenaza para las organizaciones de todo el mundo". [4]
El grupo se dirige directamente a los proveedores de servicios de tecnología de la información gestionados (MSP) que utilizan RAT . La función general de un MSP es ayudar a administrar la red informática de una empresa. Los MSP a menudo se veían comprometidos por Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor y ChChes, mediante el uso de correos electrónicos de spear-phishing . [5]
La Operación Cloud Hopper fue un extenso ataque y robo de información en 2017 dirigido a MSP en el Reino Unido (Reino Unido), Estados Unidos (EE. UU.), Japón, Canadá, Brasil, Francia, Suiza, Noruega, Finlandia, Suecia, Sudáfrica, India. , Tailandia, Corea del Sur y Australia. El grupo utilizó a los MSP como intermediarios para adquirir activos y secretos comerciales de las agencias de ingeniería, fabricación industrial, comercio minorista, energía, productos farmacéuticos, telecomunicaciones y gubernamentales de los clientes de MSP.
Operation Cloud Hopper utilizó más de 70 variantes de puertas traseras, malware y troyanos . Estos se enviaron a través de correos electrónicos de suplantación de identidad (spear-phishing). Los ataques programaron tareas o aprovecharon los servicios / utilidades para persistir en los sistemas Microsoft Windows incluso si se reiniciaba el sistema informático. Instaló malware y herramientas de piratería para acceder a los sistemas y robar datos. [5]