
Los investigadores de ciberseguridad han detallado las operaciones de ciberespionaje en curso contra múltiples agencias policiales en Pakistán entre febrero de 2024 y abril de 2026 por parte de presuntos atacantes alineados con China e India.
«Para la Policía de Baluchistán, los activos comprometidos incluían servidores que albergaban aplicaciones web que gestionan datos policiales y ciudadanos, como antecedentes penales y registros biométricos», dijo Aleksandar Milekoski, investigador principal de amenazas de SentinelOne SentinelLABS, en un informe publicado esta semana.
Esta actividad se centró en dispositivos de red y servidores que albergan aplicaciones web que gestionan registros de identidad nacionales, registros biométricos asociados con expedientes de casos penales y registros de personal, así como registros de hoteles e inquilinos.
Se dice que los actores de amenazas alineados con China comprometieron una de estas aplicaciones web e implementaron un implante personalizado disfrazado de actualización del portal. La aplicación en cuestión se denomina Sistema de gestión de quejas (CMS) y sirve al personal encargado de hacer cumplir la ley y al público, poniendo ambas categorías de usuarios al alcance del atacante.
SentinelOne dijo que detectó violaciones en la infraestructura relacionadas con varias otras agencias policiales paquistaníes, incluida la policía de Khyber Pakhtunkhwa, la policía de Islamabad y la Autoridad de Ciudad Segura de Punjab (PSCA).
Se han identificado cuatro grupos de amenazas diferentes, cada uno de los cuales implementa sus propias familias de malware: PlugX, ShadowPad, Cobalt Strike y Remcos RAT. Si bien el uso de Remcos RAT se ha asociado con actores de amenazas vinculados a la India, los clústeres PlugX, ShadowPad y Cobalt Strike se basan en herramientas compartidas o básicas, y cada uno puede involucrar a múltiples operadores.
Dicho esto, las implementaciones de PlugX y ShadowPad (este último se considera un sucesor de PlugX) se han asociado tradicionalmente con grupos de piratería estatales chinos.
“El daño que observamos para PlugX (del 27 de febrero de 2024 al 28 de septiembre de 2024) y ShadowPad (del 3 de agosto de 2024 al 1 de diciembre de 2024) respalda esta evaluación”, dijo la firma de ciberseguridad.

«Más allá de las fuerzas del orden paquistaníes, las víctimas de PlugX y ShadowPad incluyen instituciones gubernamentales, diplomáticas, de defensa, no gubernamentales y de investigación en todo el sur de Asia, el sudeste de Asia, Asia central, Asia oriental, la Península Arábiga y el sudeste de Europa, de acuerdo con las colecciones coordinadas con China».
Se evalúa que el conjunto de intrusión relacionado con Remcos comparte infraestructura y superposición táctica con el grupo de piratas informáticos conocido como Mysterious Elephant (también conocido como APT-C-08, APT-K-47 y TAG-179), que también tiene puntos en común con adversarios relacionados con la India, como SideWinder, Confucius y Bitter.
Se descubrió que la cadena de ataques utilizaba señuelos asociados con agencias policiales paquistaníes que exhibían documentos señuelo que pretendían contener planes operativos para la repatriación de extranjeros ilegales, incluidos los titulares de tarjetas de ciudadano afgano (ACC).
La conexión entre el grupo de actividad Cobalt Strike y los actores de amenazas alineados con China se basa en el hecho de que el tráfico a un servidor de comando y control (C2) controlado por el atacante (“142.171.183(.)8”) se extiende más allá de la aplicación de la ley paquistaní a organizaciones gubernamentales, académicas, de telecomunicaciones y no gubernamentales en el sur, este y sudeste de Asia, Medio Oriente y América del Sur. Esto es consistente con el perfil de víctima alineado con China. hacker.
Entre las organizaciones atacadas se encontraba una organización budista tibetana en Taiwán, que durante mucho tiempo ha sido blanco del ciberespionaje chino.
Una investigación adicional sobre las actividades dirigidas a la policía de Baluchistán reveló las siguientes violaciones a la propiedad que tuvieron lugar entre el 2 de junio de 2024 y el 9 de abril de 2026:
Dos dispositivos de red Un servidor web que aloja varias aplicaciones web de la Policía de Baluchistán relacionadas con la iniciativa de digitalización de la comisaría inteligente. Un dispositivo Fortinet FortiMail que sirvió como principal puerta de enlace de correo electrónico entrante para la comisaría.
Una de las aplicaciones infectadas es el Sistema de Gestión de Quejas (“cms.baluchistanpolice.gov(.)pk”), que se utiliza para registrar, rastrear y resolver quejas de los ciudadanos. En relación con este procedimiento, se cargaron en el sitio dos variantes diferentes del implante llamado «cms_plugin.exe».
Rust stager diseñado para descargar y ejecutar cargas útiles adicionales desde «193.42.25(.)65». Se desconoce la naturaleza exacta de la siguiente etapa, pero la muestra muestra el mensaje «¡Actualización completada! Actualice la página» cuando se ejecuta, imitando una actualización del portal CMS. Un ejecutable .NET que pretende ser «360Safe.exe», un binario legítimo utilizado por Qihoo 360 Total Security para cargar de forma reflexiva el ensamblado que implementa el cliente AsyncRAT.
Lo notable de esta operación es que ha atraído a «socios y adversarios de Pakistán» hacia la misma víctima, presumiblemente para la recopilación de inteligencia facilitada por motivos geopolíticos.
«Cuando múltiples actores de ciberespionaje operan contra la agencia de aplicación de la ley de un solo estado, la convergencia en sí misma señala un valor objetivo», explicó Milenkoski. «Lo que los atrae son ciertos tipos de instituciones que tienen una imagen completa de la seguridad interna del gobierno, lo que sabe sobre las amenazas dentro de sus fronteras y cómo actuará el gobierno al respecto».
«El compromiso de la aplicación web del Sistema de Gestión de Quejas agregó una segunda dimensión a las operaciones contra la Fuerza de Policía de Baluchistán, expandiendo el alcance del actor de amenazas más allá del entorno en el que fue comprometido inicialmente. Al alojar el implante en un portal utilizado tanto por ciudadanos como por agentes de la ley, el actor de amenazas convirtió una herramienta creada para hacer que la policía de Pakistán sea más accesible y responsable ante el público en un mecanismo de distribución de malware».
Source link
