Spring Dragon, también conocido como Lotus Blossom, Elise, Dragonfish, Billbug y Thrip, es un grupo de Amenazas Persistentes Avanzadas (APT) activo desde al menos 2012. Este grupo, vinculado a intereses de habla china y posiblemente respaldado por el estado, ha operado en una amplia campaña de ciberespionaje dirigida a entidades gubernamentales, partidos políticos, instituciones educativas y empresas de telecomunicaciones en Asia, especialmente en la región del Mar de China Meridional. Su actividad ha afectado notablemente a países como Taiwán, Indonesia, Vietnam, Filipinas, Hong Kong, Malasia y Tailandia. La infraestructura y técnicas de Spring Dragon muestran una sofisticación y amplitud inusuales: el grupo ha desarrollado más de 600 variantes de malware, con herramientas capaces de ejecutar comandos, descargar archivos adicionales y establecer comunicación constante con servidores C2 distribuidos en Asia, Estados Unidos, Alemania y otros países. Sus métodos incluyen tácticas de spear phishing y watering hole, combinadas con una arquitectura modular donde el componente de carga y el núcleo trabajan en conjunto para mantener persistencia en los sistemas comprometidos, ocultándose tras servicios aparentemente legítimos. Este análisis abarca la evolución de Spring Dragon, basada en un estudio de 231 muestras recopiladas entre 2014 y 2024, detallando una línea de tiempo de sus actividades y un mapeo de sus técnicas en el marco ATT&CK de MITRE. La presentación explora además las características técnicas del grupo, como el uso de cifrado múltiple (AES-CBC, RC4 y RSA) para proteger sus comunicaciones, y evidencia que sus marcas de tiempo de compilación sugieren una operación en zonas horarias asiáticas (GMT+8) e incluso la posibilidad de un segundo grupo operativo en otra región, como Europa. Spring Dragon representa una amenaza avanzada y persistente en el panorama global de la ciberseguridad, destacándose por su capacidad para adaptarse y evolucionar. La presentación proporcionará a la audiencia una visión estratégica de sus tácticas y técnicas, subrayando la importancia de entender y mitigar las operaciones de ciberespionaje de larga duración y la resiliencia de actores como Spring Dragon.
Speakers: