Los atacantes de amenaza persistente avanzada (APT) de habla china se han asociado con una nueva puerta trasera personalizada llamada TinyRCT como parte de un ciberataque dirigido a agencias gubernamentales e infraestructura crítica en el sudeste asiático.
La actividad, que apuntaba específicamente a empresas estatales en los sectores de energía y gobierno, se atribuyó a un actor de amenazas conocido como CL-STA-1062, que según la 42.a División de Palo Alto Networks se superponía con UAT-7237, un grupo de piratas informáticos informado por primera vez por Cisco Talos en agosto de 2025 en relación con una campaña contra entidades de infraestructura web en Taiwán.
El 42.º Cuerpo dijo que también había observado campañas CL-STA-1062 en operaciones anteriores dirigidas a sectores estratégicos en el este de Asia desde marzo de 2022, lo que sugiere un enfoque más amplio y continuo en la región.
«Desde una perspectiva técnica, los atacantes detrás de CL-STA-1062 se basan en un conjunto de herramientas híbrido», dijo la Unidad 42 en un informe técnico. «Si bien utilizan con frecuencia herramientas populares de código abierto como SoftEther VPN, Mimikatz y VNT, recientemente introdujeron una puerta trasera personalizada que antes no estaba documentada, TinyRCT».
TinyRCT tiene la capacidad de ejecutar comandos arbitrarios, enumerar y extraer archivos, capturar pantallas de dispositivos y eliminarse de hosts comprometidos.
En una campaña detectada en septiembre de 2025, los actores de amenazas supuestamente se infiltraron en una agencia gubernamental en el sudeste asiático e implementaron un shell web para robar datos de servidores MS SQL. Durante el mismo ataque, se descubrió que el actor de amenazas había realizado un reconocimiento de red contra otra agencia gubernamental en el mismo país.
«Esto sugiere un esfuerzo para identificar oportunidades de movimiento lateral y ampliar su acceso. En un caso, observamos a los atacantes organizar y exfiltrar un directorio completo de código fuente de servidor web de una agencia gubernamental», dijo la Unidad 42, y agregó que detectó compromisos de al menos 10 organizaciones diferentes en el sudeste asiático entre octubre y diciembre de 2025.
Al menos desde mediados de 2025, CL-STA-1062 ha puesto su mirada en las infraestructuras críticas. El atacante escanea múltiples entidades dentro de la región en busca de vulnerabilidades y establece un punto de apoyo a través del shell web ASPX. Esto facilita el reconocimiento inicial y las solicitudes salientes desde la red infectada a la infraestructura controlada por el atacante, lo que lleva al despliegue de cargas útiles adicionales.
Esto incluye los componentes de SoftEther VPN y un archivo RAR que contiene el conjunto de herramientas del grupo. Esto incluye utilidades de código abierto como Yuze (proxy SOCKS5) y VNT (VPN), a menudo disfrazadas de ejecutables de VMware o agentes XDR (por ejemplo, ‘XDRAgent.exe’, ‘vmtools.exe’, ‘vmwared.exe’).
Un análisis más detallado de la infraestructura de la campaña reveló una puerta trasera .NET no documentada anteriormente llamada TinyRCT (‘PerfWatson2.exe’). Es un troyano ligero de acceso remoto que permite el reconocimiento del sistema, la ejecución de comandos, la carga de archivos, la captura de capturas de pantalla, el control remoto y la eliminación de rastros de sí mismo mientras toma medidas para evitar su ejecución en un entorno sandbox.
Establece un canal de comunicación persistente con el servidor remoto (‘45.32.113(.)172’) vía HTTP, pero los datos intercambiados se cifran mediante cifrado AES-128 en modo CBC.
«El malware opera en un modelo de baliza con un intervalo de suspensión predeterminado de 10 segundos entre solicitudes», explicó la Unidad 42. «Utiliza una solicitud GET para sondear el servidor C2 en busca de instrucciones y, al mismo tiempo, envía los datos filtrados a través de una solicitud POST».
En cuanto a cómo se entrega TinyRCT, toma la forma de un archivo malicioso llamado ‘chrome_setup.zip’ que contiene un ejecutable legítimo (‘chrome_setup.exe’), un archivo de configuración (‘chrome_setup.exe.config’) y una DLL maliciosa (‘MyAppDomainManager.dll’). Se utiliza para desencadenar un ataque de inyección de AppDomainManager para cargar una DLL maliciosa, que actúa como un descargador al acceder a ella. Obtenga «PerfWatson2.exe» en «139.180.134(.)221».
«La combinación de herramientas observada en este grupo de actividades refleja un enfoque pragmático en la selección de herramientas y capacidades de ataque», concluyó la Unidad 42. «Los atacantes detrás de este clúster continúan utilizando herramientas populares de código abierto como SoftEther VPN y VNT para facilitar el movimiento lateral».
«El descubrimiento de la puerta trasera TinyRCT dentro de la infraestructura del atacante confirma la capacidad del atacante para personalizar herramientas para obtener una funcionalidad específica. La combinación de apuntar a infraestructura crítica y desarrollar malware personalizado sugiere que la actividad de CL-STA-1062 continúa representando una amenaza para la región».
Source link
