
Que es WIP19 (China)
WIP19 es un actor APT (Advanced Persistent Threat) asociado a China, conocido por su actividad de espionaje y ciberataques contra sectores críticos. Este grupo, también llamado
SQLMaggie,
ScreenCap o
WinEggDrop, se enfoca en empresas de telecomunicaciones e IT en Oriente Medio y Asia. Se cree que utiliza técnicas avanzadas para infiltrarse en redes empresariales, aprovechando vulnerabilidades y herramientas maliciosas como
SQLMaggie (un extraedor de credenciales) y
ScreenCap (un componente de grabación de pantalla).
Contexto
WIP19 se ha destacado por su uso de un certificado digital robado de una empresa coreana,
DEEPSoft, para firmar componentes maliciosos. Este enfoque permite que sus códigos parezcan legítimos, dificultando la detección. Además, el grupo utiliza técnicas como la
hijacking de orden de búsqueda de DLL en
explorer.exe para cargar módulos maliciosos sin ser notado. Su actividad está vinculada a la operación
Shadow Force, aunque WIP19 se considera más maduro al implementar métodos más sofisticados, como el uso de
WinEggDrop, un autor de backdoors con una larga trayectoria desde 2014.
Analisis
El grupo utiliza una combinación de herramientas y técnicas para succionar información sensible:
-
SQLMaggie: Extrae credenciales de sistemas operativos.
-
ScreenCap: Grabación de pantallas para recopilar datos visuales.
-
DLL Search Order Hijacking: Modifica el orden de carga de DLLs en
explorer.exe para inyectar código malicioso.
-
Uso de certificados robados: Permite que componentes maliciosos parezcan legítimos, evitando alertas de seguridad.
Estas tácticas reflejan un enfoque estratégico para operar en entornos empresariales, donde la detección es compleja y los sistemas suelen estar actualizados con medidas de protección.
Conclusion
WIP19 representa una amenaza significativa para organizaciones que gestionan infraestructuras críticas. Su capacidad para usar herramientas legítimas y técnicas avanzadas requiere monitoreo constante. Las
Indicadores de Compromiso (IOC) identificados incluyen:
| Tipo |
Valor |
Contexto |
| Domain |
explorer.exe |
Uso en DLL Search Order Hijacking |
| Domain |
www.sentinelone.com |
Fuente de información sobre WIP19 |
| File |
explorer.exe |
Componente utilizado en técnica de inyección |
Las organizaciones deben priorizar la vigilancia de actividades relacionadas con estos IOC y actualizar sus protocolos de seguridad para mitigar riesgos de espionaje y brechas.