ENTEL Weekly Threat Intelligence Brief del 6 al 12 de Junio de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• Lockbit 2.0 Ransomware se adjudica compromiso del Servicio de Salud de Veracruz México.
• El grupo de ransomware Vice Society publica en su sitio de leaks el compromiso de la ciudad de Palermo, Italia.
• AsyncRAT se posiciona como el malware con mayor distribución en el mundo.
• Grupo APT estado-nación desconocido explota Microsoft Follina para atacar a entidades europeas y estadounidenses.
• Nueva variante de Emotet roba información de tarjetas de crédito de usuarios desde Google Chrome.
• El malware Qbot utiliza Windows MSDT zero-day en ataques de phishing.
• Vulnerabilidades Zero-day descubiertas en ICS de Carrier.

Lockbit 2.0 se adjudica compromiso de organización del rubro energético
Durante el fin de semana, el grupo de ransomware se atribuyó el compromiso de la empresa SLGIENERGY, con base de operaciones en Texas, EE.UU., la cual se dedica, entre otras actividades, a la consultoría técnica, gestión de proyectos de exploración y producción en campos petroleros.

Lockbit 2.0 envía mensaje a Mandiant tras publicación que le vincula con EvilCorp.
La firma estadounidense de ciberseguridad Mandiant está investigando las afirmaciones del grupo de ransomware LockBit, respecto a un supuesto compromiso de la red de la compañía, desde donde habrían robado datos.
El grupo de ransomware publicó una nueva página en su sitio web de fuga de datos, diciendo que 356,841 archivos que supuestamente robaron de Mandiant se filtrarán en línea.

Grupo de ransomware Lockbit 2.0 se adjudica compromiso de entidad pública mexicana.
El día 6 de junio, el grupo de ransomware publicó en su sitio de leaks una víctima que correspondería a los Servicios de Salud de Veracruz (SESVER).
Al momento, no ha existido pronunciamiento oficial de la entidad o asociados, sin embargo, su sitio web oficial no se encontraba disponible para consulta, lo que da un indicio del alcance del compromiso.

YourCyanide: último ransomware basado en CMD con capacidades avanzadas.
Las variantes de ransomware basadas en CMD utilizan scripts muy ofuscados, lo que da como resultado tasas de detección bajas. Si bien la técnica no es nueva, el uso de mecanismos de ofuscación de varias capas permite que el malware se oculte fácilmente. Las variedades de ransomware con capacidades avanzadas están ganando popularidad entre los ciberdelincuentes. Si bien YourCyanide aún no se ha convertido en una amenaza grave, es necesario rastrear y bloquear nuevos desarrollos antes de causar repercusiones graves.

Black Basta implementa una nueva función para cifrar máquinas virtuales VMware ESXi que se ejecutan en servidores Linux.
El grupo de ransomware Black Basta ahora admite el cifrado de máquinas virtuales (VM) VMware ESXi que se ejecutan en servidores Linux.
El movimiento apunta a expandir los objetivos potenciales, el soporte para VMware ESXi ya fue implementado por muchas familias de ransomware, incluidas LockBit ,  HelloKitty ,  BlackMatter y REvil.

Nueva variante de Cuba Ransomware Group encontrada utilizando técnicas de infección optimizadas.
Durante el último mes, se observó el resurgimiento del ransomware Cuba, cuyo monitoreo mostró que los autores de malware parecen estar impulsando algunas actualizaciones al binario actual para una nueva variante. Las muestras examinadas en marzo y abril usaron BUGHATCH, un descargador personalizado que el actor malicioso no usó en variantes anteriores específicamente para la etapa de preparación de la rutina de infección, incluyendo además instancias para la ejecución de detención de procesos relacionados con servicios de MySql, Exchange y SQL.

El grupo ransomware Vice Society afirma haber atacado la ciudad italiana de Palermo.
El grupo de ransomware Vice Society se atribuyó la responsabilidad del reciente ataque cibernético en la ciudad de Palermo en Italia, que provocó una interrupción del servicio a gran escala.
El ataque ocurrió el viernes pasado y todos los servicios basados ​​en Internet siguen sin estar disponibles, lo que afectó a 1,3 millones de personas y a muchos turistas que visitan la ciudad.

El distrito de Nueva Jersey cancela exámenes finales después de un ataque de ransomware.
Las Escuelas Públicas de Tenafly volvieron a lo básico esta semana, utilizando retroproyectores, papel, lápices y actividades prácticas en las aulas, cuando un ataque de ransomware paralizó el sistema informático del distrito.
Los exámenes finales también se cancelaron para todos los estudiantes de secundaria, ya que el distrito escolar del condado de Bergen intenta volver a poner su sistema en línea con la ayuda de consultores de seguridad cibernética.

DeadBolt Ransomware bloquea a los proveedores con un esquema de extorsión de varios niveles.
La familia de ransomware DeadBolt tiene como objetivo los dispositivos QNAP y Asustor NAS, utiliza un archivo de configuración que elegirá dinámicamente configuraciones específicas en función del proveedor al que se dirige, lo que lo hace escalable y fácilmente adaptable a nuevas campañas y proveedores.
DeadBolt ofrece dos esquemas de pago diferentes: la víctima paga por una clave de descifrado o el proveedor paga por una clave maestra de descifrado que teóricamente funcionaría para descifrar los datos de todas las víctimas. 

El ransomware Hello XD abre una puerta trasera mientras encripta su objetivo.
Investigadores de seguridad informan una mayor actividad del ransomware Hello XD, cuyos operadores ahora están implementando una muestra mejorada con un cifrado más fuerte.
Según un nuevo informe de la Unidad 42 de Palo Alto Networks, el autor del malware ha creado un nuevo encriptador que presenta paquetes personalizados para evitar la detección y cambios en el algoritmo de encriptación.
Además de la carga útil del ransomware, también se observó que los operadores de Hello XD ahora usan una puerta trasera de código abierto llamada MicroBackdoor para navegar por el sistema comprometido, filtrar archivos, ejecutar comandos y borrar rastros.

Resumen de objetivos: Infraestructura Tecnológica, Salud, Gobierno, Petróleo, electricidad, servicios profesionales, educación.

Microsoft bloqueó actividad de ataque dirigida a organizaciones israelíes atribuida a un grupo APT con sede en el Líbano previamente desconocido.
POLONIUM ha atacado y comprometido a más de 20 organizaciones israelíes y una organización intergubernamental con operaciones en el Líbano durante los últimos tres meses. Desde febrero, los ataques se dirigieron a organizaciones de fabricación crítica, TI y la industria de defensa de Israel. 
Se observaron actores de amenazas abusando de OneDrive, por esta razón, Micorsoft suspendió más de 20 aplicaciones maliciosas de OneDrive creadas por actores de POLONIUM, notificó a las organizaciones afectadas e implementó una serie de actualizaciones de inteligencia de seguridad que pondrán en cuarentena las herramientas maliciosas desarrolladas por los atacantes.

Grupo APT estado-nación desconocido explota Microsoft Follina para atacar a entidades europeas y estadounidenses.
Los atacantes se hacen pasar por la “Oficina de Empoderamiento de la Mujer” de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]app para los ataques.
Proofpoint anunció a través de un tuit que bloqueó una campaña de phishing lanzada por un presunto actor de estado-nación, los ataques se dirigieron a menos de 10 clientes de Proofpoint (gobierno europeo y gobierno local de EE. UU.) con exploits para la vulnerabilidad de Follina.
Estos mensajes de phishing se hicieron pasar por un aumento de salario y utilizaron un RTF con la carga útil de explotación.

LuoYu APT distribuye el malware WinDealer a través de ataques de tipo man-on-the-side.
Investigadores de Kaspersky han descubierto un grupo APT vinculado a China "extremadamente sofisticado", rastreado como LuoYu, que ha sido observado usando una herramienta maliciosa de Windows llamada WinDealer.
LuoYu ha estado activo desde al menos 2008, se enfoca en objetivos ubicados en China, como organizaciones diplomáticas extranjeras establecidas en el país, miembros de la comunidad académica o empresas de los sectores de defensa, logística y telecomunicaciones.

Unidad de Delitos Digitales de Microsoft incautó dominios utilizados por APT en campañas de spear-phishing.
Microsoft anunció que ha emprendido acciones legales para interrumpir una operación de spear-phishing vinculada a APT Bohrium, vinculada a Irán. Microsoft ha tomado el control de los dominios utilizados por los actores de amenazas empleados en sus ataques dirigidos a organizaciones en los sectores de tecnología, transporte, gobierno y educación ubicados en los EE. UU., Medio Oriente e India. 

Investigadores detectan APT de habla china previamente indocumentado dirigido a entidades en el sudeste asiático y Australia.
SentinelOne documentó una serie de ataques dirigidos a entidades gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia llevados a cabo por un APT de habla china previamente indocumentado, rastreado como Aoqin Dragon. El enfoque principal de este APT es el ciberespionaje contra objetivos en Australia, Camboya, Hong Kong, Singapur y Vietnam. 
El grupo ha estado activo desde al menos 2013, se observó que Aoqin Dragon buscaba el acceso inicial principalmente a través de exploits de documentos y el uso de dispositivos extraíbles falsos.

Actores de amenazas vinculados a China comprometen empresas de telecomunicaciones y proveedores de servicios de red para espiar tráfico y robar datos.
La NSA, la CISA y el FBI de EE. UU. publicaron un aviso de seguridad cibernética conjunto para advertir que los actores de amenazas vinculados a China han violado las empresas de telecomunicaciones y los proveedores de servicios de red.
Los actores del estado-nación explotan vulnerabilidades conocidas públicamente para comprometer la infraestructura objetivo. 
Los atacantes también se dirigieron a los enrutadores de Small Office/Home Office (SOHO) y dispositivos de almacenamiento conectado a la red (NAS) para usarlos como puntos de acceso adicionales para enrutar el tráfico de comando y control (C2) y los puntos medios para llevar a cabo ataques en otras entidades.

El grupo APT vinculado a Irán utiliza una nueva puerta trasera de DNS basada en .NET para apuntar a organizaciones en los sectores de energía y telecomunicaciones.
El grupo Lyceum APT vinculado a Irán , también conocido como Hexane o Spilrin, utilizó una nueva puerta trasera de DNS basada en .NET en una campaña dirigida a empresas de los sectores de energía y telecomunicaciones.
La actividad del grupo Lyceum APT fue documentada por primera vez a principios de agosto de 2019 por investigadores de la firma de seguridad ICS Dragos, que la rastrearon como  Hexane.
Dragos informó que Hexane se centró en organizaciones de la industria del petróleo y el gas y proveedores de telecomunicaciones.

Actores de amenazas vinculados a Rusia detrás de sitio web que publicó correos electrónicos filtrados de los principales defensores de la salida de Gran Bretaña de la UE.
Según un funcionario de seguridad cibernética de Google y exjefe de inteligencia exterior del Reino Unido, el sitio web "Very English Coop d'Etat" se creó para publicar correos electrónicos privados de los partidarios del Brexit, incluido el exjefe del MI6 británico Richard Dearlove, la principal activista del Brexit, Gisela Stuart, y el historiador Robert Tombs.
Según Reuters, al menos las víctimas de la filtración confirmaron la autenticidad de los mensajes y revelaron que fueron atacados por piratas informáticos vinculados a Rusia.
El grupo que estaría detrás de esta acción sería un APT vinculado a Rusia denominado "Cold River ".
 

Resumen de objetivos: Infraestructura eléctrica, Tecnología, Defensa, Gobierno, Manufactura, Logística, Petróleo, Gas, Telecomunicaciones.

El malware Qbot utiliza Windows MSDT zero-day en ataques de phishing.
Investigadores de seguridad de Proofpoint, indicaron que Qbot ahora ha comenzado a usar documentos .docx maliciosos de Microsoft Office para abusar de la falla de seguridad Follina CVE-2022-30190 para infectar a los destinatarios.
Los atacantes utilizan mensajes de hilo de correo electrónico secuestrados con archivos adjuntos HTML que descargan archivos ZIP que contienen archivos IMG. Dentro de la IMG, los objetivos encontrarán archivos DLL, Word y de acceso directo (LNK).

Symbiote, el malware para Linux casi imposible de detectar.
Pese a su reciente identificación, los expertos estiman que lleva siendo usado por cibercriminales al menos desde noviembre de 2021, y que ya habría sido usado contra entidades del sector financiero iberoamericano.
En teoría, su nombre procede de su capacidad para funcionar sin ejecutables, limitándose a 'inyectarse' en los procesos en ejecución y convertirlos en maliciosos; esto es posible porque la carga 'viral' reside en una biblioteca con extensión .SO, que los procesos cargan porque los atacantes, previamente, han hecho uso de la variable de entorno LD_PRELOAD.

Nueva variante de Emotet roba información de tarjetas de crédito de usuarios desde Google Chrome.
El malware Emotet ha recurrido a implementar un nuevo módulo diseñado para desviar la información de la tarjeta de crédito almacenada en el navegador web Chrome.
El ladrón de tarjetas de crédito, que identifica exclusivamente a Chrome, tiene la capacidad de filtrar la información recopilada a diferentes servidores remotos de comando y control (C2), según la empresa de seguridad empresarial Proofpoint , que observó el componente el 6 de junio.
Emotet, atribuido a un actor de amenazas conocido como TA542 (también conocido como Mummy Spider o Gold Crestwood), es un troyano avanzado, modular y de autopropagación que se envía a través de campañas de correo electrónico y se utiliza como distribuidor de otras cargas útiles, como ransomware.

QBot ahora distribuye el ransomware Black Basta en ataques impulsados ​​por bots.
El grupo de ransomware Black Basta se ha asociado con la operación de malware QBot para propagarse lateralmente a través de entornos corporativos comprometidos.
QBot (QakBot) es un malware de Windows que roba credenciales bancarias, credenciales de dominio de Windows y entrega más cargas útiles de malware en dispositivos infectados.
Las víctimas generalmente se infectan con Qbot a través de ataques de phishing con archivos adjuntos maliciosos. Aunque comenzó como un troyano bancario, ha tenido numerosas colaboraciones con otras organizaciones de ransomware, incluidas MegaCortex,  ProLock , DoppelPaymer y  Egregor .

Async RAT se posiciona como el malware con mayor distribución en el mundo.
En la primera mitad de 2022, AsyncRat representó un aumento considerable en su distribución, con respecto a la misma fecha en el año 2021.
Este aumento, se tradujo en un aumento del 62% de las detecciones de correo electrónico malicioso, con Dridex como el siguiente más frecuente (12%), Trickbot (6%) y Emotet con solo 2%.

Campaña de publicidad maliciosa “MakeMoney” agrega una plantilla de actualización falsa.
El laboratorio de Malwarebytes identificó una campaña de publicidad maliciosa que condujo a una actualización falsa de Firefox. La plantilla está fuertemente inspirada en esquemas similares y, en particular, el distribuido por los actores de amenazas FakeUpdates ( SocGholish ).
Sin embargo, la distribución y la implementación son muy diferentes. A diferencia de FakeUpdates, que utiliza sitios web comprometidos para promocionar su plantilla, esta se basa en publicidad maliciosa. 

Spam de WhatsApp que ofrece falsos concursos para el día del padre es distribuido en Europa y LATAM.
En Reino Unido, se detectó el “enganche” de la barbacoa, que llega de la nada, de alguien que tiene su número, como un mensaje aleatorio que trae la noticia de un supuesto "Concurso del Día del Padre B&Q" con lo que parece una barbacoa muy agradable preparada para ganar. 
B&Q es una multinacional británica de bricolaje/mejoras para el hogar y exactamente el tipo de lugar donde alguien en el Reino Unido podría comprar un buen juego de barbacoa.
En el caso de LATAM, se detectó la estafa “Concurso Corona día del Padre”, la que es una aplicación de extensión fraudulenta para Firefox, Chrome, Edge y otros navegadores que fuerza redireccionamientos de páginas no deseados y cambios en la configuración del navegador. 
Se trata de un tipo común de software no deseado que se utiliza principalmente como medio de promoción online y generación de ingresos a través de la publicidad. Los conocidos modelos de remuneración como Pay-Per-Click y Pay-Per-View son los que impulsan estas aplicaciones, permitiéndoles ganar dinero a sus creadores.
El mensaje es plausible, y la única pista de que algo anda mal, aparte de que no se solicitó, es el acceso a un nombre de dominio con TLD “.ru”

SMSFactory se dirige a usuarios de Android en ocho países.
Los investigadores advierten contra los ataques continuos de un malware de Android que suscribe a las víctimas a servicios premium. El malware, llamado SMSFactory, intenta infectar a decenas de miles de usuarios en ocho países, donde la mayoría de las víctimas se concentran en Brasil, Ucrania, Argentina, Rusia y Turquía.
El objetivo principal es enviar mensajes de texto premium y realizar llamadas a números de teléfono premium. Sin embargo, el malware puede robar las listas de contactos de los dispositivos infectados como otro método de distribución de la amenaza.
Se propaga a través de diferentes métodos que incluyen notificaciones automáticas, publicidad maliciosa, ventanas emergentes promocionales en sitios, videos que ofrecen trucos para juegos o acceso a contenido para adultos.
Los paquetes APK maliciosos que contienen el malware se alojan en tiendas de aplicaciones no oficiales (como APKMods y PaidAPKFree) que carecen de políticas de seguridad adecuadas para los productos enumerados.

Investigadores advierten sobre una campaña de spam dirigida distribuyendo el malware SVCReady.
Se dice que SVCReady se encuentra en su etapa inicial de desarrollo, y los autores actualizaron iterativamente el malware varias veces el mes pasado. Los primeros signos de actividad datan del 22 de abril de 2022.
Las cadenas de infección implican el envío de archivos adjuntos de documentos de Microsoft Word a los objetivos por correo electrónico, que contienen macros de VBA para activar la implementación de cargas útiles maliciosas.
Pero donde esta campaña se destaca, es que en lugar de emplear PowerShell o MSHTA para recuperar los ejecutables de la siguiente etapa desde un servidor remoto, la macro ejecuta el código de shell almacenado en las propiedades del documento, que posteriormente elimina el malware SVCReady.
 

Resumen de objetivos: Banca, Tecnología, Ocio/Entretenimiento, Retail.

Nuevos avisos de seguridad que afectan a productos Fortinet
Fortinet ha publicado 7 nuevos avisos de seguridad que contemplan 13 vulnerabilidades, las cuales son clasificadas como: 7 de severidad Crítica, 3 de severidad Alta y 3 de severidad Media. Estas fallas afectan a productos como: FortiAnalyzer, FortiClient Windows, FortiAuthenticator, FortiToken, FortiOS, FortiManager, entre otros.

Nuevos productos de F5 se encuentran vulnerables y sin actualizaciones disponibles
F5 ha publicado 3 avisos de seguridad que contienen 3 vulnerabilidades, 2 de ellas clasificadas como de severidad Media y 1 vulnerabilidad Alta. Estas fallas afectan principalmente a F5OS-A y Traffix SDC.
NOTA: Aún no existen actualizaciones de seguridad que solucionen estas fallas de seguridad.

Vulnerabilidades Zero-day descubiertas en ICS de Carrier
Durante la reciente semana se han dado a conocer un grupo de 8 vulnerabilidades Zero-Day con criticidad máxima de CVSS: 9.0 han sido halladas por investigadores de Trellix que afectan al proveedor de sistemas de control industrial para el acceso físico llamado Carrier, que actualmente está presente en un amplio sector productivo, incluida infraestructura crítica.

Defectos críticos sin parches revelados en U-Boot Bootloader para dispositivos integrados
Investigadores de ciberseguridad han revelado dos vulnerabilidades de seguridad sin parchear en el cargador de arranque de código abierto U-Boot.
Los problemas, que se descubrieron en el algoritmo de desfragmentación de IP implementado en U-Boot por NCC Group, podrían abusarse para lograr escritura arbitraria fuera de los límites y denegación de servicio (DoS).
U-Boot es un cargador de arranque que se utiliza en sistemas integrados basados ​​en Linux, como ChromeOS, así como en lectores de libros electrónicos, como Amazon Kindle y Kobo eReader.

Atacantes aprovechan el error de Confluence parcheado recientemente para criptominería.
Se ha observado que un grupo de atacantes con objetivos de criptominería explota la falla de ejecución remota de código recientemente revelada en los servidores de Atlassian Confluence para instalar mineros en servidores vulnerables.
La vulnerabilidad, rastreada como CVE-2022-26134, se descubrió como un  día cero explotado activamente  a fines de mayo, mientras que el proveedor lanzó una solución el 3 de junio de 2022.

Vulnerabilidad “PACMAN” en el chip Apple M1 contiene un fallo de hardware que permite efectuar bypass a la defensa de la memoria.
Se ha descubierto que el chip M1 de Apple contiene una vulnerabilidad de hardware de la que se puede abusar para desactivar uno de sus mecanismos de defensa contra las vulnerabilidades de corrupción de memoria, lo que brindaría a dichos ataques una mayor probabilidad de éxito.
Los científicos informáticos de MIT CSAIL llamaron a la vulnerabilidad “PACMAN” y de acuerdo a la descripción indicada por los expertos, identificaron una forma de eludir la autenticación de puntero del chip M1, un mecanismo de seguridad que intenta evitar que un atacante modifique las referencias de memoria sin ser detectado.

Fallas de la cámara térmica InfiRay pueden permitir a atacantes manipular procesos industriales
Según SEC Consult, el producto se ve afectado por cinco tipos de vulnerabilidades potencialmente críticas. Un problema está relacionado con las credenciales codificadas para la aplicación web de la cámara. Dado que estas cuentas no se pueden desactivar y sus contraseñas no se pueden cambiar, pueden considerarse cuentas de puerta trasera que pueden proporcionar acceso a un atacante a la interfaz web de la cámara. A partir de ahí, un atacante puede aprovechar otra vulnerabilidad para la ejecución de código arbitrario.
Los investigadores también encontraron un desbordamiento de búfer en el firmware y múltiples componentes de software obsoletos que se sabe que contienen vulnerabilidades. También encontraron un shell raíz de Telnet que, de forma predeterminada, no está protegido por una contraseña, lo que le da a un atacante en la red local la capacidad de ejecutar comandos arbitrarios como root en la cámara.
SEC Consult no ha visto ninguna de estas cámaras térmicas expuestas a Internet. Sin embargo, un atacante que pueda obtener acceso a la red de un dispositivo podría explotar las fallas para causar daños graves.

Actualización 102 de Chrome corrige vulnerabilidades de alta gravedad.
Google anunció esta semana el lanzamiento de una actualización del navegador Chrome que resuelve siete vulnerabilidades, incluidos cuatro problemas informados por investigadores externos.
Registrado como CVE-2022-2007, el primero de estos errores se describe como un uso después de la liberación en WebGPU. Los problemas de use-after-free se activan cuando un programa no borra el puntero después de liberar la asignación de memoria y pueden explotarse para la ejecución de código arbitrario, denegación de servicio o corrupción de datos, lo que puede comprometer el sistema, si se combina con otras vulnerabilidades.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 al 19 de Junio de 2022:

Objetivos observados durante semana de análisis: 

• Petróleo
• Electricidad
• Servicios Profesionales
• Salud
• Gobierno
• Infraestructura tecnológica
• Educación
• Manufactura
• Defensa y orden público
• Logística
• Telecomunicaciones
• Gas
• Banca y Finanzas
• Retail y servicios de consumo
• Entretenimiento, cultura y arte

• Infraestructura tecnológica

• Banca y Finanzas
• Gobierno
• Defensa y orden público
• Retail y servicios de consumo
• Entretenimiento, cultura y arte
• Educación
• Petróleo
• Shipment y cadena de suministros
• Industrias manufactureras, materiales y minería
• Energía
• Servicios de salud, sociales y farmacia.
• Servicios legales y profesionales
• Gas

• Construcción e inmobiliaria
• Transportes y servicios automotrices.
• Servicios empresariales y comercio
• Turismo, hoteles y restaurantes

• Agricultura, ganadería, silvicultura y pesca.
• Organizaciones sin fines de lucro
• Agua

Lyceum APT

Campaña “MakeMoney”

Aoqin Dragon APT

Symbiote Malware

AsyncRAT

Campaña “Corona día del Padre”