Una nueva investigación de la Unidad 42 de Palo Alto Networks revela que un grupo de ciberespionaje previamente indocumentado con sede en Asia se ha infiltrado en las redes de al menos 70 gobiernos y organizaciones de infraestructura crítica en 37 países durante el año pasado.
Además, se observó que Hacking Team realizaba un reconocimiento activo de la infraestructura gubernamental asociada con 155 países entre noviembre y diciembre de 2025. Entre las organizaciones comprometidas con éxito se encuentran cinco agencias nacionales de aplicación de la ley/control de fronteras, tres ministerios de finanzas y otros ministerios gubernamentales, departamentos que trabajan con funciones de economía, comercio, recursos naturales y asuntos exteriores.
Esta actividad está siendo rastreada por una empresa de ciberseguridad con la designación TGR-STA-1030. “TGR” significa Grupo de Amenaza Temporal y “STA” se refiere a Motivos Patrocinados por el Estado. La evidencia sugiere que este actor ha estado activo desde enero de 2024.
Se desconoce el país de origen de los piratas informáticos, pero creemos que son de Asia, dado el uso de herramientas y servicios regionales, preferencias de idioma, orientación consistente con eventos e información de interés en la región y horario comercial GMT+8.
Se descubrió que la cadena de ataque utilizaba un correo electrónico de phishing como punto de partida para engañar a los destinatarios para que hicieran clic en un enlace que apuntaba al servicio de alojamiento de archivos MEGA, con sede en Nueva Zelanda. Este enlace aloja un archivo ZIP que contiene un ejecutable llamado Diaoyu Loader y un archivo de cero bytes llamado «pic1.png».
«El malware emplea barreras de ejecución de dos pasos para frustrar el análisis automatizado de la zona de pruebas», dijo la Unidad 42. «Más allá del requisito de hardware para una resolución de pantalla horizontal de 1440 o superior, la muestra realiza una verificación de dependencia del entorno para un archivo específico (pic1.png) en el directorio de ejecución».
La imagen PNG actúa como una verificación de integridad basada en archivos, eliminando los artefactos de malware antes de que comiencen su comportamiento malicioso si no están ubicados en el mismo lugar. Sólo cuando se cumple esta condición, el malware comprueba la presencia de ciertos programas de ciberseguridad de Avira (‘SentryEye.exe’), Bitdefender (‘EPSecurityService.exe’), Kaspersky (‘Avp.exe’), Sentinel One (‘SentinelUI.exe’) y Symantec (‘NortonSecurity.exe’).
En este momento, no está claro por qué los atacantes optaron por buscar sólo una cantidad limitada de productos. El objetivo final del cargador es descargar tres imágenes (‘admin-bar-sprite.png’, ‘Linux.jpg’ y ‘Windows.jpg’) desde un repositorio de GitHub llamado ‘WordPress’. Estas imágenes sirven como conductos para el despliegue de cargas útiles de Cobalt Strike. La cuenta de GitHub asociada (‘github(.)com/padeqav’) ya no está disponible.
También se ha observado que TGR-STA-1030 intenta obtener acceso inicial a las redes de destino mediante la explotación de varios tipos de vulnerabilidades de día N que afectan a numerosos productos de software de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault y Eyou Email System. No hay evidencia de que este grupo haya desarrollado o utilizado exploits de día cero en sus ataques.
Las herramientas utilizadas por los actores de amenazas incluyen marcos de comando y control (C2), shells web y utilidades de túnel.
Vale la pena señalar que el uso de los web shells mencionados anteriormente se asocia frecuentemente con grupos de hackers chinos. Otra herramienta notable es un rootkit del kernel de Linux con nombre en código ShadowGuard. Utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para ocultar información detallada del proceso, interceptar llamadas sensibles al sistema para ocultar procesos específicos de herramientas de análisis del espacio de usuario como ps y ocultar directorios y archivos denominados «swsecret».
«El grupo alquila y configura periódicamente servidores C2 en infraestructura propiedad de una variedad de proveedores VPS legítimos y comúnmente conocidos», dijo la Unidad 42. «Para conectarse a la infraestructura C2, el grupo alquila infraestructura VPS adicional que se utiliza para retransmitir el tráfico».
Los proveedores de ciberseguridad dijeron que los atacantes pudieron mantener el acceso a algunas de las entidades afectadas durante varios meses, lo que indica que estaban trabajando para recopilar información durante un período prolongado.
«TGR-STA-1030 sigue siendo una amenaza activa para los gobiernos y la infraestructura crítica de todo el mundo. El grupo apunta principalmente a ministerios y departamentos gubernamentales con fines de espionaje». «Evaluamos que estamos priorizando esfuerzos con países que han establecido o están buscando asociaciones económicas específicas».
«Si bien este grupo puede estar persiguiendo objetivos de espionaje, sus métodos, objetivos y escala de operaciones son alarmantes y podrían tener implicaciones a largo plazo para la seguridad nacional y los servicios clave».
Source link
