Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Sí, ahora puedes solicitar DoorDash desde la línea de comando.

¿Por qué OpenAI vende ChatGPT Basketball?

Sheryl Sandberg lidera una inversión de 10 millones de dólares en un servicio de inspección de vehículos impulsado por IA

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Daxin resurge en Taiwán con la puerta trasera del sistema de inicio de sesión previo Stupig
Identidad

Daxin resurge en Taiwán con la puerta trasera del sistema de inicio de sesión previo Stupig

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 16, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

El malware avanzado previamente atribuido a atacantes vinculados a China ha resurgido después de más de cuatro años dentro de una empresa de fabricación taiwanesa, junto con una puerta trasera no reportada anteriormente llamada «Stupig».

Daxin (“srt64.sys”), conocido como rootkit en modo kernel, fue documentado por primera vez por Symantec, propiedad de Broadcom, en marzo de 2022, y la evidencia ha demostrado que se ha utilizado en ataques dirigidos contra gobiernos y otros objetivos de infraestructura crítica desde 2013.

Daxin todavía está activo después de que se descubrió que se ejecutaba en hosts comprometidos en Taiwán en 2026, según los últimos hallazgos de Symantec y el equipo Carbon Black Threat Hunter. También se dice que la misma máquina perteneciente a una filial con sede en Taiwán de un fabricante multinacional de alta tecnología está infectada con Stupig (‘a.dll’ o ‘kbdus1.dll’). Este nombre de archivo intenta hacerse pasar por «kbdus.dll», una DLL legítima de Microsoft asociada con la distribución del teclado en inglés de EE. UU.

«Stupig utiliza técnicas que no están documentadas en ninguna familia de malware conocida», dijo la división de ciberseguridad de Broadcom. «Una DLL de diseño de teclado troyanizada cargada por ‘winlogon.exe’ permite a un atacante ejecutar comandos como Sistema directamente desde la pantalla de inicio de sesión de Windows antes de que alguien inicie sesión, sin desencadenar un evento de auditoría de inicio de sesión».

Lo que hace que esta intrusión se destaque es que ambos artefactos tienen marcas de tiempo de compilación de principios de 2013. Sin embargo, las máquinas comprometidas no comenzaron a informar telemetría hasta el 12 de mayo de 2026. Dada la capacidad de los actores de amenazas de permanecer sin ser detectados durante largos períodos de tiempo, este ataque podría haber pasado desapercibido durante 13 años.

No vemos ninguna superposición de niveles de código entre Daxin y Stupig. Sin embargo, su implementación conjunta en el mismo host, capacidades complementarias, prácticas de desarrollo similares y marcas de tiempo de compilación de 2013 sugieren que pueden ser obra del mismo actor de amenazas.

Daxin tiene un enfoque inusual de mando y control. En lugar de establecer directamente conexiones salientes con una infraestructura controlada por el atacante, las puertas traseras del controlador en modo kernel de Windows monitorean el tráfico TCP entrante en busca de patrones específicos y secuestran conexiones legítimas existentes para que las comunicaciones C2 cifradas se mezclen con la actividad normal. Proporciona funcionalidad para interactuar con máquinas que están físicamente desconectadas de Internet.

«Esto hizo que Daxin fuera extremadamente difícil de identificar mediante el monitoreo de red tradicional», señaló Broadcom. «El malware también admitía comunicación de múltiples saltos a través de una cadena de hosts infectados, lo que permitía a los operadores acceder a sistemas en segmentos de red aislados».

Aún no está claro cuándo y cómo se vio comprometido el host, pero se cree que es una versión anterior del portal de inicio de sesión único (SSO) de Digiwin que utilizaba instalaciones del Java Development Kit (JDK) 1.5 y 1.6 que datan de 2009-2011.

«Stupig es una puerta trasera DLL que logra persistencia registrándose como proveedor de distribución de teclado, que win32k.sys carga en winlogon.exe durante el inicio del sistema», explicó el equipo de Threat Hunter. «La DLL devuelve un puntero KBDTABLES válido, por lo que la distribución del teclado funciona bien y no se proporciona nada al proceso o al administrador que inspecciona el módulo cargado».

Cuando se inicia dentro de ‘winlogon.exe’, monitorea la pantalla de inicio de sesión de Windows en busca de nombres de usuario que comiencen con la cadena ‘stupig’. Cuando ingresa un nombre de usuario, la cadena que sigue al prefijo se interpreta como un comando y se ejecuta con privilegios de SISTEMA. Si no ingresa el comando después del prefijo, se generará una sesión de símbolo del sistema como SISTEMA en la pantalla de inicio de sesión.

El descubrimiento de Daxin en 2026 demuestra que el ciberespionaje no se ha detenido por completo. En cambio, se volvió silencioso y continuó existiendo de manera encubierta dentro de la red del objetivo.

«Stupig se esconde dentro del proceso de inicio de sesión de Windows y se registra como proveedor de diseño de teclado, lo que brinda a los operadores ejecución de comandos a nivel de SISTEMA y robo de credenciales antes de que un usuario pueda iniciar sesión. Este es un método de acceso que la mayoría de los defensores no conocen ni monitorean», dijeron Symantec y Carbon Black. «No podemos confirmar si el mismo operador ha implementado ambas herramientas, pero su funcionalidad es complementaria».

Esta divulgación se produce después de que Hunt.io anunciara que había observado que actores de amenazas vinculados a China utilizaban modelos Anthropic Claude Code y DeepSeek para automatizar intrusiones en sistemas gubernamentales y financieros en Afganistán, Tailandia, Taiwán y Estados Unidos. Este descubrimiento se basa en un directorio abierto (‘112.213.124(.)132’) que comparte la misma huella digital del encabezado HTTP que la infraestructura conocida de comando y control (C2) de TencShell.

«Procesaron inferencias para técnicas de derivación, reelaboraron exploits después de intentos fallidos y crearon páginas de phishing utilizadas para recolectar credenciales», dijo la firma de inteligencia de amenazas.

«Claude Code actúa como motor de ejecución, gestiona el uso de herramientas de agentes, ejecuta comandos bash, persistencia de sesiones y paralelización de tareas. DeepSeek-v4-pro actúa como modelo de inferencia subyacente, manejando la lógica de ataque, la generación de scripts y la toma de decisiones. Esto significa que la lógica de ataque se dirige a través del LLM dentro de China, aprovechando la infraestructura de ejecución de agentes de Anthropic».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl sistema de seguimiento de incendios forestales impulsado por IA permite el seguimiento de incendios por satélite en tiempo real
Next Article El ex vicepresidente de hardware de Ultrahuman recauda 5,5 millones de dólares para un dispositivo que no solo registra a los usuarios sino que también controla a los agentes de IA
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

julio 16, 2026

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

julio 16, 2026

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Sí, ahora puedes solicitar DoorDash desde la línea de comando.

¿Por qué OpenAI vende ChatGPT Basketball?

Sheryl Sandberg lidera una inversión de 10 millones de dólares en un servicio de inspección de vehículos impulsado por IA

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.