Para muchos En la industria de la ciberseguridad, el malware propagado a través de unidades USB representa la amenaza de piratas informáticos más extraña de la última década, o de la anterior. Pero un grupo de espías respaldados por China ha descubierto que las organizaciones globales con personal en países en desarrollo todavía tienen un paso hacia el pasado tecnológico, donde las memorias USB circulan como tarjetas de visita y los cibercafés están lejos de extinguirse. Durante el año pasado, esos piratas informáticos centrados en el espionaje utilizaron este momento geográfico para hacer retroceder el malware USB retro a las redes de docenas de víctimas.

En la conferencia de seguridad mWise de hoy, investigadores de la firma de ciberseguridad Mandiant revelaron que un grupo de hackers vinculado a China al que llaman UNC53 ha pirateado al menos 29 organizaciones en todo el mundo desde principios del año pasado utilizando un enfoque de engaño de la vieja escuela. Sus empleados conectan unidades USB infectadas con malware en computadoras de su red. Si bien estas víctimas están repartidas por Estados Unidos, Europa y Asia, Mandiant dice que muchas de las infecciones parecen haberse originado en operaciones de corporaciones multinacionales con base en África, en países como Egipto, Zimbabwe, Tanzania, Kenia, Ghana y Madagascar. En algunos casos, el malware (de hecho, varias variantes de una cepa de más de una década conocida como Sogu) parece haber viajado a través de memorias USB desde computadoras compartidas en imprentas y cibercafés, infectando computadoras indiscriminadamente en una red de datos generalizada.

Los investigadores de Mandiant dicen que la campaña representa un resurgimiento sorprendentemente efectivo del hacking basado en memorias USB que ha sido reemplazado en gran medida por técnicas modernas como el phishing y la explotación remota de vulnerabilidades de software. «La transición USB ha vuelto», afirma el investigador de Mandiant, Brendan McKeague. “En la economía globalmente distribuida de hoy, una organización puede tener su sede en Europa, pero tener trabajadores remotos en regiones del mundo como África. En muchos casos, lugares como Ghana o Zimbabwe fueron puntos de tránsito para estas infiltraciones basadas en USB.

El malware detectado Mandiant, conocido como Sogu o, a veces, Korplug o PlugX, ha sido utilizado en forma no USB por una amplia gama de grupos de hackers con sede en China durante más de una década. Los troyanos de acceso remoto, por ejemplo, se utilizaron en la notoria violación por parte de China de la Oficina de Gestión de Personal de EE. UU. en 2015, y la Agencia de Seguridad de Infraestructura y Ciberseguridad advirtió sobre su reutilización en una campaña de espionaje más amplia en 2017. Pero en enero de 2022, Mandiant comenzó a ver nuevas versiones del troyano con mayor frecuencia en las comprobaciones de respuesta a incidentes, y cada vez descubrió esas infracciones en unidades USB infectadas.

Desde entonces, Mandiant ha visto crecer la campaña de piratería USB e infectar a nuevas víctimas tan recientemente como este mes, extendiéndose a consultoría, marketing, ingeniería, construcción, minería, educación, banca y productos farmacéuticos, así como a agencias gubernamentales. Mandiant descubrió que en muchos casos la infección se contraía en computadoras compartidas en cibercafés o imprentas desde máquinas como terminales de acceso a Internet de acceso público en el aeropuerto Robert Mugabe en Harare, Zimbabwe. «Es un caso interesante si el punto objetivo de la infección por UNC53 es un lugar donde las personas viajan regionalmente a través de África o propagan la infección internacionalmente incluso fuera de África», dice el investigador de Mandiant Ray Leong.

Leong señala que Mandiant no pudo determinar si dichos lugares eran puntos de infección intencionales o «simplemente otra parada en el camino a medida que la campaña se extendía a una región en particular». Tampoco está del todo claro si los piratas informáticos intentaron utilizar su acceso a las operaciones de la multinacional en África para atacar las operaciones de la empresa en Europa o Estados Unidos. En algunos casos, parecía que los propios espías se habían centrado en operaciones africanas, dados los intereses estratégicos y económicos de China en el continente.