El grupo Patchwork, que usualmente se enfoca en objetivos diplomáticos y gubernamentales, ahora también ataca a compañías.

Un grupo de ciberespionaje conocido por enfocarse en instituciones diplomáticas y gubernamentales se ha diversificado en otras industrias, incluyendo la de aviación, radiodifusión y finanzas, advierten los investigadores.

Conocidos como Patchwork o Dropping Elephant, el grupo se destaca no sólo por su uso de scripts simples y herramientas ya hechas para ataque, sino también por su interés en las relaciones exteriores de China.

Las actividades del grupo se documentaron a principios de julio por investigadores de Kaspersky Lab, quienes señalaron en su análisis que los esfuerzos de relaciones exteriores de China parecen representar el principal interés de los atacantes.

En un nuevo reporte, investigadores de Symantec dijeron que los recientes ataques del grupo además han sido dirigidos a empresas y organizaciones de una amplia gama de industrias: aviación, radiodifusión, energía, financiera, organizaciones no gubernamentales (ONG), farmacéuticas, sector público, editorial y software.

Mientras que la mayoría de las víctimas pasadas de Patchwork estaban en China y Asia, casi la mitad de los objetivos recientes observados por Symantec fueron para los EE.UU.

El grupo utiliza un proveedor de lista de correo legítimo para enviar correos similares al boletín de noticias a sus objetivos previstos. Estos correos electrónicos enlazan a sitios web creados por los atacantes con contenido relacionado con China. Dependiendo de la industria que operan, las víctimas reciben enlaces a sitios web con contenido relevante para su negocio.

Los sitios web maliciosos tienen enlaces a .pps (PowerPoint) o archivos .doc (Word) alojados en otros dominios. Si descargan y abren, estos archivos intentan explotar vulnerabilidades conocidas de Microsoft Office con el fin de ejecutar código malicioso en los ordenadores de los usuarios.