La división Unit 42 de Palo Alto Networks descubrió una campaña de ciberespionaje activa que ya ha alcanzado al menos a nueve empresas globales de los sectores de defensa, educación, energía, sanidad y tecnología. Las herramientas de los ciberdelincuentes son similares a las del grupo de amenazas chino Emissary Panda. El objetivo suele ser mantener el acceso a largo plazo para facilitar el espionaje.
Al menos 370 organizaciones estadounidenses han sido incluidas en un escaneo para identificar servidores vulnerables. La telemetría de su objetivo muestra las conexiones entre los servidores maliciosos y las empresas del país, incluidas las agencias del Departamento de Defensa, instituciones educativas y organizaciones sanitarias.
Asimismo, hay más de 11.000 sistemas expuestos a Internet en todo el mundo que ejecutan el software, Zoho, afectado, según la plataforma Cortex Xpanse de Palo Alto. Además, el ataque es difícil de detectar, aprovecha brechas conocidas en ManageEngine ADFSelfService Plus de Zoho, una herramienta de gestión de identidades y accesos, que ya fue parcheada por la propia Zoho el pasado 6 de septiembre. Estos ataques comenzaron el 17 de septiembre, un día después de que la CISA norteamericana emitiera una alerta sobre otra campaña que explotaba esas mismas vulnerabilidades.
Según la compañía, los resultados de la investigación subrayan la necesidad de que las empresas respondan rápidamente a la revelación de vulnerabilidades críticas instalando parches y tomando precauciones para bloquear los incidentes. Esto es especialmente importante en el caso de los objetivos con gran valor en sectores críticos.
