Se cree que actores afiliados a China han participado en ataques cibernéticos dirigidos a organizaciones sin fines de lucro estadounidenses con el objetivo de establecer una sostenibilidad a largo plazo como parte de una campaña más amplia dirigida a organizaciones estadounidenses relacionadas o involucradas en cuestiones políticas.
La organización «busca activamente influir en la política del gobierno de Estados Unidos en cuestiones internacionales», según un informe de los equipos Symantec y Carbon Black de Broadcom. Los atacantes pudieron acceder a la red durante varias semanas en abril de 2025.
El primer signo de actividad se produjo el 5 de abril de 2025 e incluyó CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts), CVE-2017-17562. Hemos detectado un esfuerzo de escaneo masivo contra servidores que utilizan una variedad de exploits conocidos, que incluyen: (GoAhead Web Servidor).
No se registraron más acciones hasta el 16 de abril. El ataque ejecutó varios comandos curl para probar la conectividad a Internet y luego ejecutó la herramienta de línea de comandos de Windows netstat para recopilar información de configuración de red. Luego configuro la persistencia en el host mediante una tarea programada.
Esta tarea está diseñada para ejecutar un binario legítimo de Microsoft «msbuild.exe» para ejecutar una carga útil desconocida, así como para crear otra tarea programada configurada para ejecutarse cada 60 minutos como usuario del SISTEMA con privilegios elevados.
Según Symantec y Carbon Black, esta nueva tarea puede cargar e inyectar código desconocido en csc.exe, estableciendo finalmente comunicación con un servidor de comando y control (C2) en 38.180.83(.)166. Luego se observó que el atacante ejecutaba un cargador personalizado para descomprimir y ejecutar una carga útil no especificada, probablemente un troyano de acceso remoto (RAT) en memoria.
También observamos la ejecución de un componente legítimo de Vipre AV (‘vetysafe.exe’) para descargar un cargador de DLL (‘sbamres.dll’). También se dice que este componente se utilizó para cargar archivos DLL asociados con Deed RAT (también conocido como Snappybee) en actividades anteriores de Salt Typhoon (también conocido como Earth Estries) y ataques de Earth Longzhi, un subgrupo de APT41.
«Una copia de esta DLL maliciosa se ha utilizado anteriormente en ataques asociados con atacantes con sede en China conocidos como Space Pirates», dijo Broadcom. «El grupo chino APT Kelp (también conocido como Salt Typhoon) también utilizó una variante de este componente con un nombre de archivo diferente en un incidente separado».
Otras herramientas observadas en redes específicas incluyeron Dcsync e Imjpuexc. No está claro qué tan exitosos fueron los ataques de los atacantes. No se han registrado actividades adicionales desde el 16 de abril de 2025.
Symantec y Carbon Black dijeron: «De la actividad contra esta víctima se desprende claramente que los atacantes buscaban establecer una presencia persistente y sigilosa en la red. Los atacantes también estaban muy interesados en apuntar a los controladores de dominio, que potencialmente podrían propagar la infección a muchas máquinas en la red».
«Compartir herramientas entre grupos es una tendencia de larga data entre los actores de amenazas chinos, lo que dificulta determinar qué grupo específico está detrás de una variedad de actividades».
La divulgación se produce después de que un investigador de seguridad que se hace llamar BartBlaze revelara que Salt Typhoon aprovechó una falla de seguridad en WinRAR (CVE-2025-8088) para comenzar una cadena de ataque que descargó una DLL responsable de ejecutar shellcode en hosts comprometidos. La carga útil final está diseñada para establecer una conexión con un servidor remoto (‘mimosa.gleeze(.)com’).
Actividades de otros grupos de hackers chinos
Según el informe de ESET, los grupos alineados con China siguen activos, atacando organizaciones en Asia, Europa, América Latina y Estados Unidos para servir a las prioridades geopolíticas de Beijing. Algunas campañas notables incluyen:
En julio de 2025, un atacante con el nombre en código “Speccom” se dirigió al sector energético de Asia Central a través de correos electrónicos de phishing que entregaban variantes de BLOODALCHEMY y puertas traseras personalizadas como kidsRAT y RustVoralix. En julio de 2025, un atacante con el nombre en código «DigitalRecyclers» apuntó a organizaciones en Europa utilizando una técnica de persistencia inusual que utilizaba la herramienta de accesibilidad Magnifier para obtener privilegios del SISTEMA. Agencias gubernamentales latinas dirigidas. Un actor de amenazas con nombre en código FamousSparrow puede haber explotado una falla de ProxyLogon en Microsoft Exchange Server para implementar SparrowDoor en los Estados Unidos (Argentina, Ecuador, Guatemala, Honduras y Panamá) de junio a septiembre de 2025. De mayo a septiembre de 2025, una empresa taiwanesa del sector de la aviación de defensa, una organización comercial estadounidense con sede en China, las oficinas de una agencia gubernamental griega con sede en China y una agencia gubernamental ecuatoriana fueron atacadas. Con el nombre en clave SinisterEye (también conocido como LuoYu y Cascade Panda), distribuyó malware como WinDealer (para Windows) y SpyDealer (para Android) para secuestrar mecanismos legítimos de actualización de software mediante ataques de intermediario (AitM). En junio de 2025, un actor de amenazas con nombre en código PlushDaemon utilizó el envenenamiento de AitM para atacar a empresas japonesas y multinacionales en Camboya. paso a paso lento.
«PlushDaemon logra el posicionamiento AitM comprometiendo dispositivos de red como enrutadores e implementando una herramienta llamada EdgeStepper, que redirige el tráfico DNS desde la red objetivo a un servidor DNS remoto controlado por el atacante», dijo ESET.
«Este servidor responde a consultas de dominios asociados con la infraestructura de actualización de software utilizando la dirección IP del servidor web que realiza el secuestro de actualizaciones y, en última instancia, alimenta la puerta trasera insignia de PlushDaemon, SlowStepper».
Un grupo de hackers chino ataca servidores IIS mal configurados
En los últimos meses, los cazadores de amenazas han descubierto atacantes de habla china que apuntan a servidores IIS mal configurados utilizando claves de máquina expuestas para instalar una puerta trasera llamada TOLLBOOTH (también conocida como HijackServer) con encubrimiento SEO y capacidades de shell web.
«REF3927 explota claves de máquina ASP.NET disponibles públicamente para comprometer servidores IIS e implementar el módulo de encubrimiento SEO TOLLBOOTH globalmente», dijeron investigadores de Elastic Security Labs en un informe publicado a fines del mes pasado. Según HarfangLab, la operación infectó cientos de servidores en todo el mundo, con infecciones concentradas en India y Estados Unidos.
El ataque también se caracteriza por intentos de convertir el acceso inicial en un arma para eliminar el shell web de Godzilla, ejecutar la herramienta de acceso remoto GotoHTTP, usar Mimikatz para recopilar credenciales e implementar HIDDENDRIVER, una versión modificada del rootkit de código abierto Hidden, para ocultar la presencia de la carga útil maliciosa en la máquina infectada.
Vale la pena señalar que este clúster es la última incorporación a una larga lista de actores de amenazas chinos dirigidos a servidores IIS, incluidos GhostRedirector, Operation Rewrite y UAT-8099, y marca un aumento en dicha actividad.
«Los operadores maliciosos, que utilizan el chino como idioma principal y parecen estar aprovechando la infracción para respaldar la optimización de motores de búsqueda (SEO), han descubierto que el módulo implementado proporciona un canal persistente y no autenticado que permite a cualquier parte ejecutar comandos de forma remota en los servidores afectados», dijo la firma francesa de ciberseguridad.
Source link
