Novedades - Title-Box

Novedades

Noticias, alertas y reportes que ayudan a mantenerte informado

  1. Inicio
  2. Servicios
  3. Contacto

NUEVA ACTIVIDAD DEL GRUPO WIP19

 

NUEVA ACTIVIDAD DEL GRUPO WIP19

17/10/2022    

BOLETÍN NRO 2022-596 

Los proveedores de servicios de telecomunicaciones y TI en el Medio Oriente y Asia están siendo atacados por un grupo de amenazas de habla china previamente indocumentado denominado WIP19.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---

  

                                 Severidad:   ALTA

  

El grupo se caracteriza por el uso de un certificado digital legítimo y robado emitido por DEEPSoft, una empresa coreana especializada en soluciones de mensajería. “A lo largo de esta actividad, el atacante abusó del certificado para firmar varios componentes maliciosos”, explicó SentinelLabs. “Casi todas las operaciones realizadas por el ciberdelincuente se completaron con un ‘teclado práctico’ durante una sesión interactiva con máquinas comprometidas. Esto significó que el atacante renunció a un canal C2 estable a cambio del sigilo”. Los análisis de SentinelLabs de los backdoor utilizadas también sugirieron que partes de los componentes utilizados por WIP19 fueron creados por WinEggDrop, un conocido autor de malware de habla china que ha desarrollado herramientas para varios grupos y ha estado activo desde 2014. “El uso de malware creado por WinEggDrop, certificados robados y TTP correlacionados [tactics, techniques and procedures] indican posibles vínculos con la Operación Shadow Force, según lo informado por analistas de seguridad“, explicó SentinelLabs. “Como el conjunto de herramientas en sí parece ser compartido entre varios actores, no está claro si se trata de una nueva iteración de la operación ‘Shadow Force’ o simplemente de un ciberdelincuente diferente que utiliza TTP similares. Sin embargo, la actividad que observamos representa a un actor más maduro, utilizando nuevo malware y técnicas”. Además, SentinelLabs vinculó un implante denominado “SQLMaggie”, descrito recientemente por DCSO CyTeca la última actividad de WIP19. “SQLMaggie parece estar activamente mantenido y proporciona información sobre la línea de tiempo de desarrollo con nombres de versión codificados”. Debido a sus TTP avanzados, SentinelLabs advirtió que WIP19 es un ejemplo de la mayor amplitud de la actividad de espionaje china dirigida a organizaciones de infraestructura crítica y están actualizando sus técnicas para evitar ser detectados por los sistemas de seguridad. 

 

Indicadores de Compromiso HASH

MD5: 562021372c683dbcd1144275c7e36449 SHA-256: f4275a0db5e74d24150985c23a740c4b2514b002b2bdf9c87c64bccb6be6d193 MD5: f80a144f3fd2671e0286f9a5d0cba7ab SHA-256: eeb793d904be48934d728027dc9d96e3feea3ded1e97d7eceae3c19887bf8a38 MD5: bbf8beede399a4f85639f521586bfac6 SHA-256: c18beccc038e014fb97600ec2fc3bfffa463310483b1d13ccfd23a749bb6bb60 MD5: 4a26893ade9d4c7666f7d6766ae25b6d SHA-256: afd2925e09604af8ab75adcb441752bf12fcf7de50211e29c0505ae36873d943 MD5: 6a49b0b896c9443a1110afeec7b871b1 SHA-256: 8f14a9707d7d5ccf9f633af70dd8371090e01983c4895f60cc7845a7f57ea9cf MD5: 2e11b8b30b6930308bcc005d6d9156b6 SHA-256: 8a3712f74755da5b2f1c014d394b30454be840d561a5d45534bb2fcbdcba172d MD5: 6a99c186f09770bf80121a836dba1179 SHA-256: 7adbf934329be31a9de64668d75b2c710e08e791fd01d5c2436d887f0327ea34 MD5: f2c723a4af532f8ce5160877c2366ca0 SHA-256: 72353ee98cd3926d8f14d5b7118b7bb0465f72ca9e3d28397a1bcf2cb0fc3edb MD5: 93a56ae000b38af074c944c777738e1c SHA-256: 6dd889c05413e1abb207ce4639014deb07309fc8910856eb687e3032d5f52607 MD5: 42cc046f9f8aa4d444ace51e90ec2e87 SHA-256: 65f8fe26916ba161fcaee2778e16329a5f0bb18b7981b27e42acf8c4df2378f2 MD5: f7ff72186cb5f82daf11f96dd663ce1e SHA256: 358247e97e0758b5d211a1691800276ec3b8fed7dff575986d4b3ed0f426a113 MD5: 1ecbb837566126f81fe401877db3377f SHA256: 30db1ecb9822916d56961914f583e9578aa0470e65da8325473f05ec365e9062 MD5: 6a85792804d362cf393aba1d658882e SHA256: 3041c798c3a957d8e335270107d519ef8187261ecc27778e808a8b9e388adf6a MD5: 3218c6aca4cc6a5088d1fcc60547a9a SHA256: 2f2f165ee5b81a101ebda0b161f43b54bc55afd8e4702c9b8056a175a1e7b0e0 MD5: 9b508c180e047e17e54f1fe59f3f5757 SHA256: 27069d5f0e905c3ec50929b7f344772384c0ede6a67b1d4d59a658fdbe938ef1 MD5: f80a144f3fd2671e0286f9a5d0cba7ab SHA256: eeb793d904be48934d728027dc9d96e3feea3ded1e97d7eceae3c19887bf8a38 MD5: f7ff72186cb5f82daf11f96dd663ce1e SHA256: 358247e97e0758b5d211a1691800276ec3b8fed7dff575986d4b3ed0f426a113 MD5: f2c723a4af532f8ce5160877c2366ca0 SHA256: 2353ee98cd3926d8f14d5b7118b7bb0465f72ca9e3d28397a1bcf2cb0fc3edb MD5: bbf8beede399a4f85639f521586bfac6 SHA256: 18beccc038e014fb97600ec2fc3bfffa463310483b1d13ccfd23a749bb6bb60 MD5: 9b508c180e047e17e54f1fe59f3f5757 SHA256: 27069d5f0e905c3ec50929b7f344772384c0ede6a67b1d4d59a658fdbe938ef1 MD5: 93a56ae000b38af074c944c777738e1c SHA256: 6dd889c05413e1abb207ce4639014deb07309fc8910856eb687e3032d5f52607 MD5: 6a99c186f09770bf80121a836dba1179 SHA256: adbf934329be31a9de64668d75b2c710e08e791fd01d5c2436d887f0327ea34 MD5: 6a49b0b896c9443a1110afeec7b871b1 SHA256: 8f14a9707d7d5ccf9f633af70dd8371090e01983c4895f60cc7845a7f57ea9cf MD5: 562021372c683dbcd1144275c7e36449 SHA256: f4275a0db5e74d24150985c23a740c4b2514b002b2bdf9c87c64bccb6be6d193 MD5: 4a26893ade9d4c7666f7d6766ae25b6d SHA256: afd2925e09604af8ab75adcb441752bf12fcf7de50211e29c0505ae36873d943 MD5: 43218c6aca4cc6a5088d1fcc60547a9a SHA256: f2f165ee5b81a101ebda0b161f43b54bc55afd8e4702c9b8056a175a1e7b0e0 MD5: 42cc046f9f8aa4d444ace51e90ec2e87 SHA256: 5f8fe26916ba161fcaee2778e16329a5f0bb18b7981b27e42acf8c4df2378f2 MD5: 2e11b8b30b6930308bcc005d6d9156b6 SHA256: 8a3712f74755da5b2f1c014d394b30454be840d561a5d45534bb2fcbdcba172d MD5: 26a85792804d362cf393aba1d658882e SHA256: 3041c798c3a957d8e335270107d519ef8187261ecc27778e808a8b9e388adf6a MD5: 1ecbb837566126f81fe401877db3377f SHA256: 0db1ecb9822916d56961914f583e9578aa0470e65da8325473f05ec365e9062

  

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com


 

Asset Publisher

Reporte

2026-002 Reporte Quincenal de Ciberinteligencia

Seguir leyendo

Reporte

2026-001 Reporte Quincenal de Ciberinteligencia

Seguir leyendo

Reporte

131 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Asset Publisher