Investigadores de Check Point Research, la División de Inteligencia de Amenazas del grupo proveedor especializado en ciberseguridad, han descubierto que un grupo de cibercriminales chinos clonaron y utilizaron de forma activa como herramienta ofensiva una unidad de ciberseguridad con sede en Estados Unidos llamada Equation Group. El grupo de ciberdelincuentes chino puso en funcionamiento el clon APT31 entre 2014 y 2017, tres años antes de que el grupo fuera descubierto.

Detectada por primera vez por el equipo de Respuesta a Incidentes de Lockheed Martin y luego detallada por Microsoft en 2017, esta herramienta facilita ciberataques a ordenadores con Windows XP y hasta Windows 8. Un ciberdelincuente puede utilizar la herramienta para obtener los máximos privilegios disponibles, con el fin de hacer lo que quisiera en los ordenadores infectados: instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con plenos derechos de administrador.

Microsoft parcheó la vulnerabilidad vinculada a la herramienta clonada, documentando el parche como CVE-2017-0005 y atribuyendo la explotación, en ese momento, a un grupo de hackers con sede en China llamado APT31. Las nuevas pruebas que CPR ha sacado a la luz demuestran que APT31 era la fuente original de dicha herramienta cibernética ofensiva responsable de la vulnerabilidad de día cero (CVE-2017-2005). En su última publicación, CPR ha revelado que la herramienta de APT31 era, de hecho, un clon de una herramienta de ataque, cuyo nombre en código es «EpMe», desarrollada por el grupo estadounidense Equation Group.

Dado que la herramienta de ataque de Equation Group fue capturada y reutilizada para servir como «arma de doble filo» para atacar a los estadounidenses, CPR ha bautizado la herramienta de APT31 como «Jian», nombre de la espada de doble filo que se utiliza en China desde hace 2.500 años. La herramienta «Jian» estuvo en funcionamiento durante tres años, entre 2014-2017, hasta que se denunció a Microsoft, unos meses antes de que el grupo de ciberdelincuentes «Shadow Brokers» filtrara públicamente el código de espionaje de autoría de Equation Group (incluyendo el exploit «EpMe» de CVE-2017-0005).

Ambas versiones del exploit «Jian» de APT31 o «EpMe» de Equation Group están dirigidas a ampliar los privilegios en el entorno local de Windows. La herramienta se utilizaba después de que un cibercriminal consiguiera el acceso inicial a un ordenador objetivo, por ejemplo, a través de un correo electrónico de phishing o cualquier otra opción. Entonces, «Jian» otorga al cibercriminal los máximos privilegios disponibles, para que pudiera hacer lo que quisiera en el ordenador ya infectado.

«EpMo» nunca había sido mencionado públicamente hasta ahora. Microsoft implementó el parche de EpMo en mayo de 2017 sin CVE-ID aparente.