TIDRONE es una organización de APT (amenaza persistente avanzada) descubierta y nombrada por Trend Micro en 2024. Esta organización se enfoca en llevar a cabo ataques cibernéticos precisos contra la industria militar y satelital de Taiwán, especialmente centrados en fabricantes de drones. Según Trend Micro, se sospecha que esta organización de APT está relacionada con China y cuenta con dos programas maliciosos exclusivos: CXCLNT, que se utiliza principalmente para robar información de computadoras de las víctimas, y CLNTEND, un troyano de acceso remoto que admite cinco protocolos para comunicarse con estaciones maliciosas, incluyendo TCP, HTTP, HTTPS, TLS y SMB.
Los principales métodos de infiltración de TIDRONE son los siguientes:
Utilizar el software de acceso remoto UltraVNC para descargar programas maliciosos.
Penetrar en sistemas de ERP para llevar a cabo ataques. (Según el informe de análisis de Trend Micro, todas las víctimas utilizan el mismo sistema de ERP)
El proceso de ejecución de los programas maliciosos es similar al de otras organizaciones de APT chinas, utilizando un ejecutor (Launcher) para realizar la carga lateral de DLL (Dll-SideLoading) y cargar un programa malicioso (Loader). A continuación, se descifra la carga maliciosa encriptada para obtener el programa malicioso final.
Trend Micro realizó un análisis de los programas maliciosos cargados en VirusTotal y descubrió que las víctimas se encuentran en Corea del Sur, Canadá y Taiwán, como se muestra en la Figura 1. Esto indica que los objetivos de los atacantes varían en diferentes países, por lo que cada nación debe estar alerta ante esta amenaza.
Figura 1: Recopilación de víctimas obtenidas de VT en 2024, tomada del artículo de Trend Micro
Trend Micro señala que los atacantes tienden a utilizar nombres de estaciones maliciosas que se parecen a los nombres de empresas legítimas para engañar a los usuarios y hacer que hagan clic en ellos. Por ejemplo, en este ataque se utilizaron las estaciones maliciosas symantecsecuritycloud[.]com, microsoftsvc[.]com y windowswns[.]com, que imitan los nombres de las conocidas empresas Symantec, Microsoft y Windows.
Se recomienda a las empresas y usuarios tomar las siguientes medidas de protección:
Descargar software desde fuentes confiables.
Estar atentos a las técnicas de ingeniería social.
Instalar software antivirus y mantener el sistema actualizado con la última versión.