El actor de amenaza china y Nexus, conocido como UNC6384, está promoviendo los intereses estratégicos de Beijing debido a una serie de ataques dirigidos a diplomáticos de otras entidades en todo el noreste de Asia y en todo el mundo.
«Esta cadena de ataque de varias etapas aprovecha la ingeniería social sofisticada, incluidos los certificados de firma de código válidos, los ataques de hombre en el medio (AITM) y técnicas de ejecución indirecta para evitar la detección», dijo Patrick Whitsell, investigador del Grupo de Inteligencia de Amenazos de Google (GTIG).
UNC6384 se evalúa para compartir duplicaciones tácticas y de gira. Un grupo de piratería chino conocido llamado Mustang Panda también se rastrea como cuenca, dragón Camaro, dragón Camaro, preta de tierra, ácaro de miel, delta rojo, rico rojo, el imponente Tauro, Tem y Trutymun.
La campaña detectada por GTIG en marzo de 2025 presenta una redirección cautiva del portal para secuestrar el tráfico web y entregar descargadores firmados digitalmente llamados staticplugins. El descargador luego allana el camino para la implementación en memoria de una variante plugx (también conocida como KorPlug o Sogu) llamada Sogu.Sec.
Plugx es una puerta trasera que admite archivos exfiltrados, registra teclas de registro, inicia shells de comandos remotos y comandos para cargar/descargar archivos, y puede extender la funcionalidad con complementos adicionales. Los implantes que a menudo se lanzan a través de las celos secundarios de DLL se extienden a través de unidades flash USB, correos electrónicos de phishing dirigidos que contienen archivos adjuntos o enlaces maliciosos, o mediante descargas de software comprometido.
El malware ha existido desde al menos 2008 y es ampliamente utilizado por grupos de piratería chinos. ShadowPad se considera el sucesor de Plugx.
La cadena de ataque de UNC6384 es bastante simple en ese enemigo de mitad de período (AITM) y las tácticas de ingeniería social se utilizan para proporcionar malware Lugle.
El navegador web objetivo probará AITM si su conexión a Internet está detrás de un portal cautivo. AITM redirige el sitio web StaticPlugin, que controla su navegador como una amenaza.
El secuestro de Portal Captive se utiliza para entregar malware que finge actualizar los complementos de Adobe a las entidades objetivo. En los navegadores Chrome, la función de portal cautivo se logra mediante una solicitud a una URL de codificación dura («www.gstatic (.) Com/generate_204») que redirige a los usuarios a la página de inicio de sesión de Wi-Fi.
«Gstatit (.) Com» es un dominio de Google legítimo utilizado para almacenar el código JavaScript, las imágenes y las hojas de estilo como una forma de mejorar el rendimiento, pero Google probablemente está ejecutando ataques de AITM para imitar la cadena de redirección del actor de amenaza en la página web de aterrizaje del actor de amenaza, dijo Google.
Aunque los cajeros automáticos se evalúan como impulsados por las violaciones de los dispositivos de borde en la red de destino, el vector de ataque sigue siendo desconocido en esta etapa.
«Después de ser redirigido, el actor de amenaza intentará engañar al objetivo y hacerles creer que es necesaria una actualización de software e intentará descargar malware disfrazado de una ‘actualización de complementos'», dijo Gtig. «La página web de aterrizaje es similar a un sitio de actualización de software legítimo y utiliza un certificado TLS válido y una conexión HTTPS emitida por Let’s Cifrypt».
El resultado final es una descarga de un archivo ejecutable llamado «AdoBePlugins.exe» (también conocido como StaticPlugin). Actualiza la carga útil Sogu.Sec en segundo plano usando una DLL llamada CanonStager («CNMPaui.dll»).
El descargador de staticplugin está firmado por Chengdu Nuoxin Times Technology Co., Ltd, junto con un certificado válido emitido por GlobalSign. Más de dos docenas de muestras de malware firmadas por Chengdu han sido utilizadas por grupos de actividades en China y Nexus, con los primeros artefactos que se remontan al menos a enero de 2023. No está claro cómo estos certificados obtienen los suscriptores.
«Esta campaña es un claro ejemplo de la evolución continua de las capacidades operativas de UNC6384, destacando el refinamiento de los actores de amenaza de PRC-Nexus», dice Whitsell. «El uso de técnicas avanzadas como la firma de código efectiva de AITM e ingeniería social en capas demuestra las capacidades de este actor de amenaza».
Source link
