La comunidad tibetana fue atacada por los grupos cibernéticos chinos y Nexus como parte de dos campañas que se realizan el mes pasado antes del 90 cumpleaños del Dalai Lama el 6 de julio de 2025.
Los ataques de varias etapas son operaciones de Operación Ghostchat y PhantomPrayers de nombre en código por parte de ZSCALER AMENAYLABZ.
«Los atacantes violaron un sitio web legal, redirigieron a los usuarios a través de enlaces maliciosos y finalmente instalaron una puerta trasera de RAT o Phantomnet (también conocido como Smanager) en el sistema de víctimas», dijeron los investigadores de seguridad Sudeep Singh y Roy Tay en un informe el miércoles.
Esta no es la primera vez que un actor de amenaza china ha recurrido a un ataque de agujeros (también conocido como compromiso de la web estratégica). Esta es una tecnología en la que los enemigos ingresan a sitios web donde ciertos grupos visitan e infectan malware con frecuencia.
Durante los últimos dos años, los grupos de piratería como Evilbamboo, Evasive Panda y TAG-112 se han basado en un enfoque para atacar a la diáspora tibetana, con el objetivo final de recopilar información confidencial.
Operación Ghostchat
El último conjunto de ataques observados por ZSCaler implica un compromiso en la página web y reemplaza el enlace que apunta a «Tibetfund (.) Org/90thbirthday» con una versión incorrecta («thedalailama90.niccenter (.) Net»).
La página web original está diseñada para enviar mensajes a Dalai Lama, pero la página de réplica agrega la opción de enviar mensajes cifrados a un lector espiritual descargándolos de «Tbelement.nicCenter (.) Net».
Alojado en el sitio web hay una versión de fondo del software de chat cifrado de código abierto que contiene DLL maliciosas de forma lateral para lanzar GH0ST RAT, un troyano de acceso remoto ampliamente utilizado por varios grupos de piratería chinos. La página web también contiene el código JavaScript diseñado para recopilar direcciones IP de visitantes e información del agente de usuario y retratar detalles a los actores de amenaza a través de solicitudes de publicación HTTP.
Operación fantasma
GH0ST RAT es un malware totalmente pesado que admite la manipulación de archivos, la captura de pantalla, la extracción de contenido del portapapeles, la grabación de video de la cámara web, los keylogs, la grabación de audio y la reproducción, la manipulación de procesos y los shells remotos.
Se sabe que la segunda campaña, la Operación PhantomRayers, utilizará otro dominio, «hhhedalalama90.niccenter (.) Net». Su ubicación en el mapa.
Sin embargo, las características maliciosas usan una puerta trasera que establece el contacto con un servidor de comando y control (C2) a través de TCP utilizando la tecnología DLL Sideload, y lanza una puerta trasera que establece servidores de complemento adicionales (C2) para ejecutar máquinas complejas.
«Phantomnet se puede configurar para funcionar solo dentro de un tiempo o unos pocos días, pero esta característica no está habilitada en la muestra actual», dijeron los investigadores. «Phantomnet utilizó DLL de enchufes modulares, el tráfico C2 cifrado AES y las operaciones de sincronización configurables para administrar sigilosamente los sistemas comprometidos».
Source link
