Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código

El nuevo Paper Pure de reMarkable es fantástico. Por eso escribí esta reseña.

Zoox anuncia retirada de software después de que los robotaxis se confundieran con el humo

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código
Identidad

Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 17, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los investigadores de ciberseguridad atribuyen el incidente de seguridad de DigiCert de abril de 2026 a un grupo de actividad de amenazas conocido como CylindricalCanine.

Expel, que compartió detalles técnicos del evento, describió al atacante como un subgrupo de GoldenEyeDog (también conocido como APT-Q-27, Dragon Breath y Miuuti Group). GoldenEyeDog es un grupo cibercriminal chino conocido por apuntar al sector de los juegos de azar y los juegos de azar utilizando sitios web falsos para impulsar software con malware. Se sabe que ha estado activo desde al menos 2015.

«En abril de 2026, GoldenEyeDog utilizó malware para obtener acceso a los dispositivos de los miembros de soporte de DigiCert, un proveedor de certificados de firma de código, y utilizó ese acceso para robar certificados destinados a los clientes de DigiCert», dijo en un análisis el investigador de seguridad de Expel, Aaron Walton. «Este ataque destacó las capacidades del malware y sus operadores».

Una versión modificada de Gh0st RAT (también conocida como Farfli) está en el centro de la actividad de los actores de amenazas. Es un troyano de acceso remoto (RAT) ampliamente utilizado por grupos de piratas informáticos chinos, incluido otro prolífico grupo chino de cibercrimen identificado como Silver Fox. Este malware modular, llamado Golden Gh0st RAT, es distribuido por Golden Gh0st Loader.

En un informe publicado en noviembre de 2025, Elastic Security Labs detalló que los adversarios utilizaron un cargador de múltiples etapas con nombre en código RONINGLOADER para distribuir variantes de Gh0st RAT a través de instaladores NSIS disfrazados de programas legítimos como Google Chrome y Microsoft Teams.

A principios de este año, se observó otra campaña asociada con este grupo de piratas informáticos que orquestaba ataques de varias etapas dirigidos al personal de atención al cliente que trabajaba para empresas Web3 utilizando enlaces sospechosos enviados a través de chats de atención al cliente para entregar Gh0st RAT.

«Estos atacantes están utilizando malware y atacando a sus víctimas de la misma manera que otras operaciones de cibercrimen chinas, incluidas instituciones financieras en la región de Asia y el Pacífico», dijo Expel. «Este malware se dirige a instituciones financieras de la región de Asia Pacífico».

Golden Gh0st RAT se duplica desde el punto de vista conductual y táctico con una carga útil detectada por el proveedor de seguridad chino QiAnXin en 2020 en relación con campañas de ataque dirigidas a la industria del juego desde 2019. También se superpone con malware documentado como Zhong Stealer por ANY.RUN en febrero de 2025.

Compromiso de DigiCert

Además, se ha observado que CylindricalCanine abusa de los certificados de firma de código para obtener acceso no autorizado a DigiCert para interceptar certificados de firma de código destinados a clientes de DigiCert y utilizar los certificados para firmar su propio malware para evadir la detección.

En abril de 2026, la Autoridad de Certificación (CA) reveló que había revocado un certificado obtenido de manera fraudulenta de un portal de soporte interno después de obtener acceso a dos estaciones de trabajo de analistas de soporte mediante la ejecución de una carga útil maliciosa entregada a través de un canal de chat de un cliente.

«El 2 de abril de 2026, un actor de amenazas se puso en contacto con el equipo de soporte de DigiCert a través de un canal de chat de clientes y distribuyó un archivo ZIP disfrazado de captura de pantalla del cliente», explicó DigiCert en ese momento. «El archivo contenía un ejecutable .scr con una carga maliciosa».

«El atacante utilizó una funcionalidad limitada dentro del portal de atención al cliente que permite a un analista de soporte de DigiCert autenticado acceder a las cuentas de los clientes desde la perspectiva del cliente para facilitar las tareas de soporte. El atacante pudo usar esta funcionalidad para acceder al código de inicialización de órdenes de entrega aprobadas pero pendientes de certificados de firma de código EV en un conjunto limitado de cuentas de clientes».

La supervisión crítica aquí es que la posesión del código de inicialización, combinada con una orden aprobada, era «funcionalmente suficiente» para obtener certificados de firma de código EV en un conjunto de cuentas de clientes y CA. La empresa anunció que ha revocado 60 certificados emitidos por las siguientes CA:

DigiCert Trusted G4 Firma de código RSA4096 SHA256 2021 CA1 DigiCert Trusted G4 Firma de código RSA4096 SHA384 2021 CA1 GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1 Verokey High Assurance Secure Code EV

De estos, 27 estaban explícitamente vinculados a atacantes, y los certificados explotados supuestamente fueron utilizados como arma para firmar artefactos de malware Zhong Stealer.

«Este modelo de amenaza no tuvo en cuenta el escenario en el que el código de inicialización almacenado dentro del portal de soporte interno de DigiCert podría ser visto por una cuenta de analista de DigiCert comprometida manipulada a través de la funcionalidad del portal», explicó la compañía, y agregó que desde entonces ha introducido cambios de código que enmascaran el código de inicialización de usuarios proxy en plataformas de la UE y EE. UU. que utilizan la interfaz de usuario o API.

La cadena de ataques conduce a Golden Gh0st RAT

Según Expel, la táctica principal de CylindricalCanine es distribuir archivos disfrazados de capturas de pantalla en correos electrónicos de phishing. El archivo está incrustado en el mensaje en forma de enlace que, al hacer clic, descarga una carga útil adicional desde un servidor externo.

El objetivo final del ataque es desencadenar una cadena de descarga de DLL aprovechando un ejecutable legítimo para ejecutar una DLL maliciosa y al mismo tiempo mostrar un documento PDF señuelo que muestra un error HTTP 503 «Servicio no disponible». Luego, la DLL comienza a cargar una carga útil cifrada (‘update.log’).

La etapa final es Golden Gh0st RAT. Viene con una amplia gama de características como configurar la persistencia, robar datos confidenciales, iniciar túneles proxy SOCKS, suprimir la salida de pantalla, registrar pulsaciones de teclas, tomar capturas de pantalla, enumerar procesos, ejecutar comandos de shell, eliminar cargas útiles adicionales y borrar registros de eventos de Windows. Las aplicaciones destinadas específicamente a la recopilación de datos incluyen Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed ​​​​Browser y Tencent QQ Browser.

Con este hallazgo, CylindricalCanine se convierte en la última incorporación a la lista de actores de amenazas conocidos por explotar certificados de firma de código en sus operaciones cibernéticas, incluidos Black Basta, TamperedChef (también conocido como EvilAI) y Rhysida.

«Golden Gh0st RAT se utiliza principalmente para correos electrónicos de phishing y envíos a portales de soporte (estos envíos pueden ser correos electrónicos recibidos por sistemas de emisión de tickets)», dijo Expel. «Al igual que con todas las variantes de Gh0st RAT, la funcionalidad del malware se maneja a través de complementos y un despachador de módulos interno».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl nuevo Paper Pure de reMarkable es fantástico. Por eso escribí esta reseña.
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una prueba de codificación falsa muestra malware compatible con OtterCookie oculto en imágenes de banderas SVG

julio 17, 2026

La UE ordena a Google que abra el micrófono, la cámara y la pantalla de Android para rivalizar con el asistente de inteligencia artificial

julio 17, 2026

La carrera para lograr la autonomía militar ha comenzado. ¿Puede una infraestructura de información confiable seguir este ritmo?

julio 17, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código

El nuevo Paper Pure de reMarkable es fantástico. Por eso escribí esta reseña.

Zoox anuncia retirada de software después de que los robotaxis se confundieran con el humo

Una prueba de codificación falsa muestra malware compatible con OtterCookie oculto en imágenes de banderas SVG

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.