Poco después de que Mandiant publicara su informe sobre la campaña china APT1, los expertos observaron que los ciberdelincuentes empezaron a enviar mensajes de correo electrónico malintencionados que aprovechaban la noticia.
http://news.softpedia.com/images/news-700/Time-Bomb-Malware-Used-in-Attacks-Against-Japanese-Journalists.png
Los expertos de Seculert identificaron ataques de spear-phishing contra periodistas chinos y japoneses, en los cuales se utilizaban falsos informes de Mandiant.
Después de analizar el malware utilizado en los ataques contra los periodistas japoneses, los investigadores de Seculert han notado que el elemento malicioso está diseñado como una "bomba de tiempo". Ha sido programado para activarse sólo durante un determinado período de tiempo.
En la mayoría de los casos, el malware está configurado para comunicarse con sitios web legítimos de Japón, pero el martes, entre las 8 y 19, se comunica con un dominio de comando y control (C&C) adicional, a saber, expires.ddn.dynssl.com.
En este intervalo relativamente corto, el malware descarga componentes maliciosos adicionales, preparando el escenario para una nueva fase del ataque.
Cabe destacar que la IP de expires.ddn.dynssl.com lleva a un servidor ubicado en Corea, pero ddn.dnyssl.com lleva a uno situado en China, particularmente a una región vinculada a otras campañas de ciberdelincuencia.
En este caso, el dominio de C&C fue suspendido antes de que se activara la "bomba".
FUENTE :http://news.softpedia.es/Un-malware-de-quot-bomba-de-tiempo-quot-fue-utilizado-en-ataques-contra-periodistas-japoneses-334977.html