El actor de amenaza de la Alianza de China, conocido como el TA415, se atribuye a una campaña de pesca de lanza dirigida a gobiernos de EE. UU., Tantas de expertos y organizaciones académicas que utilizan señuelos con temática de la economía estadounidense.
“En esta actividad, el grupo se desempeñó como el actual Presidente del Comité Selecto de Competencia Estratégica entre los Consejos Empresariales de EE. UU. Y China, así como en los Consejos Comerciales de los Estados Unidos y China, dirigidos a una variedad de individuos y organizaciones que se centraron principalmente en las relaciones entre Estados Unidos y China, Comercio y Política Económica.
La compañía de seguridad empresarial dijo que las actividades observadas a lo largo de julio y agosto de 2025 son probables esfuerzos para promover el boletín de inteligencia en medio de las continuas conversaciones comerciales entre Estados Unidos y China, algunos de los actores de amenazas patrocinados por el estado chino.
Los hallazgos se producen pocos días después de que el Comité Selecto de la Cámara de Representantes de los Estados Unidos sobre China emitió una advertencia de asesoramiento para una serie de campañas cibernéticas altamente específicas vinculadas a los actores de amenazas chinas.
La campaña se centra principalmente en las personas que se especializan en el comercio internacional, la política económica y las relaciones entre Estados Unidos y China, enviando correos electrónicos que invitan a los consejos comerciales estadounidenses y los invitaron a las sesiones informativas cerradas de las puertas sobre temas en los temas de los Estados Unidos-China.
El mensaje se envió utilizando la dirección de correo electrónico «UsChina@Zohomail (.) Com», pero también se basó en el servicio CloudFlare Warp VPN para ofuscar la fuente de la actividad. Estos incluyen enlaces a archivos protegidos con contraseña alojados por servicios públicos para compartir en la nube como Zoho WorkDrive, Dropbox y Opendrive, incluidos los atajos de Windows (LNK) junto con otros archivos en carpetas ocultas.
La función principal de los archivos LNK es ejecutar scripts por lotes en carpetas ocultas y mostrar documentos PDF como un recorte para el usuario. En el fondo, el script por lotes ejecuta un cargador de pitón ofuscado llamado Whirlcoil, que también está presente en el archivo.
«Una variación previa de esta cadena de infección descargó el cargador Python de remolino de sitios de pegado como Paspevin, y los paquetes de Python se descargaron directamente del sitio web oficial de Python», dijo Proofpoint.
Este script generalmente está diseñado para configurar una tarea programada llamada Google Update o MicrosoftthealthCaremonritornode, ejecutando el cargador cada dos horas como persistencia. Además, si el usuario tiene acceso administrativo al host comprometido, realice la tarea con privilegios del sistema.
El cargador de Python luego establece túneles remotos de Código Visual Studio, establece acceso permanente a la puerta trasera y recolecta información del sistema y el contenido de varios directorios de usuarios. Los datos y el código de verificación del túnel remoto se envían al servicio de registro de solicitud gratuita (requestRepo (.) Com) en forma de una blob codificada base64 dentro del cuerpo de la solicitud posterior a HTTP.
«Este código permite a los actores de amenaza autenticar el túnel remoto del código VS, acceder de forma remota al sistema de archivos y ejecutar cualquier comando a través del terminal de Visual Studio incorporado en el host de destino», dice Proofpoint.
Source link
