Que es
Returned Libra es un actor APT (Advanced Persistent Threat) asociado al grupo regional de China, conocido también como Mining Group, 8220 Gang o Rocke. Este grupo ha estado activo desde al menos 2017 y se destaca por su actividad en la minería de criptomonedas utilizando herramientas personalizadas basadas en el software XMRig, como PwnRig o DBUsed. La organización se originó a partir de un fork en GitHub del código de Rocke, lo que sugiere una evolución técnica y estrategica de su infraestructura.
Contexto
El grupo Returned Libra opera como un actor de ciberamenaza regional con sede en China. Su metodología incluye la extracción de credenciales de plataformas de nube para alimentar sus operaciones de minería, lo que refleja una combinación de técnicas de acceso a recursos y actividades de minería ilegales. Se ha documentado su uso de herramientas personalizadas para optimizar la minería de Monero (XMR), un criptoactivo con alta demanda en el dark web.
Analisis
El análisis de Returned Libra revela que el grupo ha adoptado una estrategia híbrida entre minería y ciberataques. Los ataques se basan en la adquisición de credenciales de servidores cloud para acceder a recursos computacionales no autorizados, lo cual aumenta su capacidad operativa. La utilización de PwnRig y DBUsed sugiere una adaptación al software XMRig, un estándar en la minería de criptomonedas. Sin embargo, el grupo ha mostrado una evolución técnica hacia métodos más sofisticados, como la extracción de credenciales para operaciones en la nube.
Conclusion
Returned Libra representa un peligro significativo para organizaciones que dependen de infraestructuras cloud. Su combinación de minería y ciberataques refleja una evolución técnica hacia métodos más complejos. Sin embargo, no hay indicadores de compromiso públicos disponibles para su detección.