Entre finales de junio y mediados de julio de 2024, un actor de ciberamenazas vinculado a China llevó a cabo la operación «Digital Eye», dirigida a proveedores de servicios de TI en el sur de Europa. Los atacantes aprovecharon túneles de Visual Studio Code y la infraestructura de Microsoft Azure para el control y comando (C2), camuflando sus actividades maliciosas como legítimas. Esta táctica permitió el acceso completo a los sistemas comprometidos, incluyendo la ejecución de comandos y manipulación del sistema de archivos.
La campaña fue detectada y detenida en sus fases iniciales por SentinelOne Labs y Tinexta Cyber. Sin embargo, la identidad exacta del grupo detrás de «Digital Eye» sigue sin confirmarse, debido al uso compartido de herramientas y técnicas entre diferentes grupos de APT chinos. Se observó el uso de una capacidad de movimiento lateral similar a modificaciones personalizadas de Mimikatz, conocidas como mimCN, previamente asociadas con operaciones como «Soft Cell» y «Tainted Love».
Algunas recomendaciones preventivas:
- Monitoreo de herramientas de desarrollo: Implementar una supervisión estricta de aplicaciones como Visual Studio Code y sus componentes, ya que pueden ser explotadas para actividades maliciosas.
- Control de aplicaciones y reglas de firewall: Revisar y ajustar las políticas para evitar que ejecutables firmados sean utilizados indebidamente, garantizando que solo se permita el tráfico necesario y legítimo.
- Detección de movimientos laterales: Utilizar soluciones de seguridad capaces de identificar técnicas como «pass-the-hash» y otras formas de movimiento lateral dentro de la red.
- Actualización y parcheo continuo: Mantener todos los sistemas y aplicaciones actualizados para reducir la exposición a vulnerabilidades conocidas.
- Auditorías de seguridad regulares: Realizar evaluaciones periódicas de la infraestructura digital para identificar y mitigar posibles puntos débiles.
Infraestructura de Visual Studio Code para monitorear:
- https://tunnels.api.visualstudio[.]com
- https://global.relays.visualstudio[.]com
- https://vscode[.]dev
- *.azurewebsites[.]net
- *.cloudapp[.]net
Otras URLs potencialmente utilizadas por actores maliciosos:
Subdominios relacionados con campañas APT de origen chino, por ejemplo, aquellos en *.cn.