Atacantes vinculados a China han estado implicados en una intrusión de cinco meses dirigida a proveedores de servicios de TI en Rusia, lo que marca la expansión del grupo de piratas informáticos en el país más allá del sudeste asiático y América del Sur.
Se cree que la actividad, que ocurrió entre enero y mayo de 2025, es obra de un actor de amenazas rastreado por Symantec, propiedad de Broadcom, como Jewelbug, y se superpone con grupos conocidos como CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) y REF7707 (Elastic Security Labs).
Los hallazgos sugieren que Rusia no ha prohibido el ciberespionaje chino, a pesar de que los lazos «militares, económicos y diplomáticos» entre Rusia y China se han fortalecido a lo largo de los años.
«Un atacante obtuvo acceso a repositorios de códigos y sistemas de construcción de software que podrían explotarse para llevar a cabo ataques a la cadena de suministro dirigidos a los clientes de la empresa en Rusia», dijo el equipo Symantec Threat Hunters en un informe compartido con Hacker News. «También vale la pena señalar que los atacantes estaban extrayendo datos a Yandex Cloud».
Se cree que Earth Alux ha estado activo desde al menos el segundo trimestre de 2023, apuntando principalmente a gobierno, tecnología, logística, manufactura, telecomunicaciones, servicios de TI y comercio minorista en las regiones de Asia Pacífico (APAC) y América Latina (LATAM), entregando malware como VARGEIT y COBEACON (también conocido como Cobalt Strike Beacon).
Mientras tanto, se ha observado que el ataque lanzado por CL-STA-0049/REF7707 distribuye una puerta trasera avanzada llamada FINALDRAFT (también conocida como Squidoor) que puede infectar sistemas tanto Windows como Linux. Los hallazgos de Symantec marcan la primera vez que se vinculan estos dos grupos de actividad.
En sus ataques dirigidos a proveedores de servicios de TI rusos, Jewelbug supuestamente explotó una versión renombrada del Microsoft Console Debugger («cdb.exe»). Este depurador se puede utilizar para ejecutar shellcode y omitir listas de aplicaciones permitidas, así como para iniciar ejecutables, ejecutar archivos DLL y finalizar soluciones de seguridad.
También se ha observado que el atacante intenta ocultar rastros de su actividad descartando credenciales, estableciendo persistencia a través de tareas programadas y borrando registros de eventos de Windows.
Dirigirse a los proveedores de servicios de TI es estratégico porque abre la puerta a posibles ataques a la cadena de suministro y permite a los actores de amenazas aprovechar una infracción para comprometer a varios clientes intermedios a la vez mediante actualizaciones de software maliciosos.
Además, Jewelbug también fue responsable de infiltrarse en una gran organización gubernamental en América del Sur en julio de 2025, desplegando una puerta trasera previamente indocumentada que se decía estaba en desarrollo, destacando las capacidades en evolución del grupo. El malware utiliza Microsoft Graph API y OneDrive para comando y control (C2) y puede recopilar información del sistema, enumerar archivos de la máquina de destino y cargar la información en OneDrive.
El uso de Microsoft Graph API permite que los actores de amenazas se mezclen con el tráfico normal de la red y minimiza los artefactos forenses que complican el análisis posterior al incidente y aumentan el tiempo de permanencia de los actores de amenazas.
Otros objetivos incluyeron un proveedor de TI con sede en el sur de Asia y una empresa taiwanesa en octubre y noviembre de 2024, y los ataques a esta última aprovecharon técnicas de descarga de DLL para eliminar cargas útiles maliciosas, incluido ShadowPad, una puerta trasera utilizada exclusivamente por grupos de piratas informáticos chinos.
Esta cadena de infección también se caracteriza por la implementación de una herramienta KillAV que desactiva el software de seguridad y una herramienta disponible públicamente llamada EchoDrv. Esta herramienta permite la explotación de vulnerabilidades de lectura/escritura del kernel en el controlador anti-trampas ECHOAC como parte de lo que parece ser un ataque Bring Your Own Vulnerable Driver (BYOVD).
También aprovechó herramientas disponibles gratuitamente como LSASS y Mimikatz para el volcado de credenciales, PrintNotifyPotato, Coerced Potato y Sweet Potato para detección y escalada de privilegios, y una utilidad de túnel SOCKS llamada EarthWorm utilizada por grupos de hackers chinos como Gelsemium y Lucky Mouse.
«La preferencia de Jewelbug por utilizar servicios en la nube y otras herramientas legítimas en sus operaciones indica que mantener un perfil bajo y establecer una presencia sigilosa y persistente en las redes de las víctimas es de suma importancia para este grupo», dijo Symantec.
Las revelaciones se produjeron cuando la Oficina de Seguridad Nacional de Taiwán advirtió sobre un aumento de los ciberataques chinos dirigidos a departamentos gubernamentales y acusó al «ejército de trolls en línea» de Beijing de difundir contenido inventado en las redes sociales, socavar la confianza de la gente en el gobierno y tratar de sembrar desconfianza en Estados Unidos, informó Reuters.
Source link
