WIP19

Que es WIP19

WIP19 es un actor APT regional vinculado a China, conocido por su actividad de espionaje y ciberataques contra organizaciones clave. El grupo utiliza técnicas avanzadas de ciberseguridad para comprometer sistemas críticos en sectores como telecomunicaciones e IT. Se le conoce con alias como SQLMaggie, ScreenCap, WinEggDrop y otros, y ha sido identificado como parte de una red de amenazas más madura que opera desde 2014.

Contexto

WIP19 ha estado atacando a empresas de telecomunicaciones e IT en Oriente Medio y Asia. Su actividad incluye la uso de un certificado digital robado por una empresa coreana, DEEPSoft, para firmar componentes maliciosos. El grupo también utiliza técnicas como el DLL search order hijacking contra explorer.exe para cargar componentes de teclado y captura de pantalla. Su operación se vincula con Operation Shadow Force, aunque WIP19 se distingue por un enfoque más maduro.

Análisis

El grupo utiliza una combinación de herramientas maliciosas, incluyendo SQLMaggie (dumper de credenciales) y ScreenCap (componente de captura de pantalla). Los ataques se basan en la explotación de componentes legítimos, como explorer.exe, para ejecutar código malicioso sin ser detectado. Además, WIP19 ha sido documentado por SentinelOne como un ejemplo de amenaza basada en certificados falsos.

Indicadores de Compromiso (IOCs)

Conclusion

WIP19 representa una amenaza significativa para organizaciones en regiones clave. Su uso de certificados falsos y técnicas avanzadas de inyección de código requiere vigilancia constante. Las organizaciones deben monitorizar IOCs como explorer.exe y dominios relacionados con actividades de espionaje. La colaboración entre sectores es crucial para mitigar el impacto de actores APT como WIP19.