Los atacantes aprovechan servicios legítimos de computación en la nube para gestionar malware e implementar procesos de ataque complejos de múltiples etapas para eludir los sistemas de detección de intrusiones. Mediante esto, los malhechores pueden propagar malware en el sistema de red de la víctima, instalar herramientas de control remoto, tomar el control del dispositivo, robar y eliminar información confidencial.

La campaña estuvo dirigida a agencias gubernamentales y organizaciones de la industria pesada en varios países y territorios de la región Asia-Pacífico (APAC), incluidos Taiwán, Malasia, China, Japón, Tailandia, Hong Kong, Corea del Sur, Singapur, Filipinas y Vietnam. Los piratas informáticos utilizan archivos comprimidos que contienen código malicioso, disfrazados de documentos relacionados con impuestos, y los difunden a través de campañas de phishing en correos electrónicos y aplicaciones de mensajería como WeChat y Telegram. Después del complejo proceso de instalación de malware multicapa en el sistema, los ciberdelincuentes procederán a instalar una puerta trasera llamada FatalRAT.

Aunque esta campaña comparte algunas similitudes con ataques anteriores que utilizaban malware de acceso remoto (RAT) de código abierto como Gh0st RAT, SimayRAT, Zegost y FatalRAT. Los expertos han visto un cambio significativo en las tácticas, técnicas y métodos de operación, todos ellos adaptados a las organizaciones y agencias de habla china.

El ataque se llevó a cabo a través de la red de distribución de contenido (CDN) MyqCloud y el servicio de alojamiento Youdao Cloud Notes, dos plataformas legítimas de computación en la nube chinas. Para evitar la detección y prevención, los piratas informáticos han utilizado muchas técnicas como: cambiar continuamente el servidor de control y la carga útil del malware para reducir la posibilidad de ser rastreados, almacenar malware en sitios web legítimos para "evitar" el sistema de seguridad, explotar vulnerabilidades en software legítimo para implementar ataques, aprovechar funciones legítimas del software para activar malware, cifrar archivos y tráfico de red para ocultar actividades inusuales.

Kaspersky denominó la campaña SalmonSlalom para describir cómo los cibercriminales evadieron hábilmente las defensas de la red con tácticas sofisticadas y métodos en constante cambio, de forma similar al salmón que nada a través de un viaje rápido y arduo que requiere resistencia e ingenio para superar los obstáculos.

“Los ciberdelincuentes utilizan técnicas relativamente sencillas para lograr sus objetivos, incluso en entornos de tecnología operativa (OT)”, afirmó Evgeny Goncharov, director de Kaspersky ICS CERT. “Esta campaña sirve de advertencia a las organizaciones de la industria pesada de la región APAC sobre la capacidad de los actores maliciosos para penetrar remotamente los sistemas OT. Las organizaciones deben concienciar sobre estas amenazas, reforzar sus defensas y responder de forma proactiva para proteger sus activos y datos de los ciberataques”.