Los atacantes vinculados a China estuvieron involucrados en «intrusiones de múltiples oleadas» dirigidas a compañías de petróleo y gas no identificadas en Azerbaiyán desde finales de diciembre de 2025 hasta finales de febrero de 2026, lo que indica una expansión de sus objetivos.
Bitdefender tiene una confianza de moderada a alta en que esta actividad es obra del grupo de hackers conocido como FamousSparrow (también conocido como UAT-9244). Este grupo tiene cierta superposición táctica con grupos rastreados bajo los nombres Earth Estries y Salt Typhoon.
Este ataque allana el camino para el despliegue de dos puertas traseras diferentes en tres oleadas distintas: Deed RAT (también conocido como Snappybee), un sucesor de ShadowPad utilizado por múltiples grupos de espías alineados con China, y TernDoor, que se descubrió recientemente en ataques dirigidos a infraestructuras de telecomunicaciones en América del Sur a partir de 2024.
Lo notable de esta campaña es que a pesar de varios intentos de remediación: Deed RAT el 25 de diciembre de 2025, TernDoor a finales de enero/principios de febrero de 2026 y un Deed RAT parcheado a finales de febrero de 2026, explotó repetidamente los mismos puntos de entrada vulnerables de Microsoft Exchange Server y reemplazó la puerta trasera cada vez. Se cree que el atacante aprovechó la cadena ProxyNotShell para obtener acceso inicial.
«Este objetivo amplía las víctimas conocidas de FamousSparrow a una región donde el papel de Azerbaiyán en la seguridad energética europea ha aumentado significativamente tras la expiración del Acuerdo de Transporte de Gas de Ucrania con Rusia en 2024 y la interrupción del Estrecho de Ormuz en 2026», dijo la firma rumana de ciberseguridad en un informe compartido con Hacker News.
«Esta intrusión demuestra que los atacantes explotarán y volverán a explotar las mismas rutas de acceso hasta que se parchee la vulnerabilidad original, se roten las credenciales comprometidas y se corte por completo la capacidad del atacante para revertir».
Después del acceso inicial, se dice que Deed RAT intentó implementar implementando un shell web para establecer un punto de apoyo persistente y, en última instancia, utilizando una técnica avanzada de carga lateral de DLL que aprovecha el binario legítimo de LogMeIn Hamachi para cargar y lanzar una DLL no autorizada responsable de ejecutar la carga útil principal.
«A diferencia de la carga lateral de DLL estándar, que se basa en una simple sustitución de archivos, este método anula dos funciones de exportación específicas dentro de la biblioteca maliciosa», explicó Bitdefender. «Esto crea un disparador de dos etapas que controla la ejecución del cargador Deed RAT a través del flujo de control natural de la aplicación host, avanzando aún más las capacidades tradicionales de evasión de defensa de carga lateral de DLL».
También se ha descubierto que este ataque realiza movimientos laterales dentro de una red comprometida para ampliar el acceso y establecer puntos de apoyo redundantes para garantizar la resiliencia si se detecta y elimina actividad.
Mientras tanto, la segunda ola se produjo casi un mes después de la invasión inicial. Los atacantes intentaron eliminar TernDoor mediante la descarga de DLL utilizando Mofu Loader, un cargador de código shell anteriormente atribuido a GroundPeony, pero no tuvieron éxito.
Las empresas azerbaiyanas fueron atacadas por tercera vez a finales de febrero de 2026. En ese momento, los atacantes intentaron nuevamente introducir una versión modificada del Deed RAT. Esto muestra esfuerzos activos para mejorar y evolucionar el arsenal de malware. Este artefacto utiliza ‘sentinelonepro (.)com’ para comando y control (C2).
«Esta intrusión no debe verse como una infracción aislada, sino más bien como una operación sostenida y adaptativa llevada a cabo por los atacantes que repetidamente buscan recuperar y ampliar el acceso dentro del entorno de la víctima», dijo Bitdefender. «A lo largo de múltiples oleadas de actividad, se revisaron las mismas rutas de acceso, se introdujeron nuevas cargas útiles, se establecieron puntos de apoyo adicionales y se enfatizó un alto grado de persistencia y disciplina operativa».
Source link
