Varios sectores en China, Hong Kong y Pakistán son atacados por grupos de actividad de amenazas rastreados como UNG0002 (también conocido como grupo desconocido 0002) como parte de una actividad de ciber espionaje más amplia.
«Esta entidad de amenaza muestra una fuerte preferencia por el uso de archivos de acceso directo (LNK), VBScript y herramientas posteriores a la explosión, como huelgas de cobalto y metasplotas, pero implementa constantemente documentos de señuelos con temática CV para seducir a las víctimas.
Esta actividad incluye dos campañas principales llamadas Operación Cobalt Whisper, que tuvo lugar entre mayo y septiembre de 2024, y lo que se llama Operación Amberster, que tuvo lugar entre enero y mayo de 2025.
Los objetivos de estas campañas incluyen defensa, ingeniería eléctrica, energía, aviación civil, academia, atención médica, ciberseguridad, juegos y sectores de desarrollo de software.
Operation Cobalt Whisper detalló el uso de archivos ZIP, documentado por primera vez por Seqrite Labs a fines de octubre de 2024, propagado a través de ataques de phishing de lanza para proporcionar el marco posterior a la explosión, balizas de ataque de cobalto, utilizando scripts LNK y Visual Basic como cargas intermedias.
«El alcance y la complejidad de la campaña, junto con señuelos personalizados, propone fuertemente los esfuerzos de focalización del grupo APT para comprometerse en investigaciones delicadas y propiedad intelectual en estas industrias», dijo la compañía en ese momento.
Se ha descubierto que la cadena de ataque de Mast Amber utiliza el correo electrónico de phishing de lanza como punto de partida para entregar y reanudar archivos LNK decorados en el currículo vitae y desatar el proceso de infección de varias etapas que conduce al despliegue de ratas INET y cargadores DLL de ampollas.
Se ha descubierto que la secuencia de ataque alternativo detectada en enero de 2025 redirige a los destinatarios del correo electrónico a las páginas de destino falsas que el sitio web del Ministerio de Marítimo (MOMA) falsa en Pakistán.
Lanzado a través de DLL Sideload, Shadow Rat puede establecer contacto con el servidor remoto y esperar más comandos. Aunque las ratas INET se clasifican como una versión modificada de la rata de sombra, el implante DLL Blister actúa como un cargador de código de carcasa, allanando el camino para un implante inverso basado en concha.
El origen exacto del actor de amenaza sigue siendo desconocido, pero la evidencia indica que es un grupo centrado en el espionaje en el sudeste asiático.
«UNG0002 representa una entidad de amenaza sofisticada y duradera en el sur de Asia que ha mantenido una operación consistente en múltiples jurisdicciones asiáticas desde al menos mayo de 2024», dijo Singa. «Este grupo continúa evolucionando su conjunto de herramientas, demostrando su alta adaptabilidad y capacidades técnicas al tiempo que mantiene tácticas, técnicas y procedimientos consistentes».
Source link
