Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

El informe de la ESA destaca el creciente papel de Europa en la economía espacial

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje
Identidad

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 17, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan17 de julio de 2026Ciberespionaje/inteligencia sobre amenazas

Investigadores de ciberseguridad han descubierto una pieza de malware no documentada previamente llamada GoSerpent. Este malware se ha utilizado en ciberataques dirigidos a organizaciones del sudeste asiático desde finales de 2025, centrándose en el acceso a largo plazo y la recopilación de información.

La empresa rusa de ciberseguridad Kaspersky, que descubrió la actividad en febrero de 2026, dijo que tenía como objetivo instituciones gubernamentales y diplomáticas de la región. GoSerpent está diseñado para conectarse a servidores externos e implementar cargas útiles secundarias para recopilar datos confidenciales y volcar credenciales en el sistema.

«Nuestro monitoreo de la actividad de este actor de amenazas reveló que regresaron en mayo de 2026 con un conjunto evolucionado de herramientas maliciosas: una nueva RAT Stowaway y una herramienta proxy similar al malware original, y herramientas sigilosas adicionales para extraer datos confidenciales recopilados durante los últimos meses a través de recursos compartidos de red», dijo el investigador de seguridad Noushin Shabab.

El objetivo final de estos esfuerzos es recopilar archivos confidenciales y prepararlos para su posterior divulgación mediante una herramienta de recopilación de datos llamada ThumbcacheService. El ataque también utilizó una herramienta de volcado de credenciales a través de GoSerpent para obtener las credenciales del sistema necesarias para facilitar la filtración de datos a través de una unidad compartida de red.

Las primeras versiones del troyano de acceso remoto (RAT) y de implante basado en Go se han utilizado contra víctimas en el sudeste asiático desde 2021, y las últimas variantes se introdujeron este año.

El malware funciona recibiendo argumentos de línea de comando cifrados y codificados en Base64, incluidas direcciones de comando y control (C2) y contraseñas de comunicación. Una vez descifrada, la puerta trasera se conecta al servidor C2 a través de una conexión cifrada. El hash SHA256 de la contraseña de comunicación actúa como clave de cifrado.

La lista de comandos admitidos se encuentra a continuación.

Para alertar al servidor sobre una infección activa Comenzar a escuchar en un puerto específico Cerrar el puerto de escucha Conectarse al servidor remoto Generar un shell en la máquina infectada Cargar archivos o directorios al servidor Descargar desde el servidor Iniciar un proxy SOCKS5 en la máquina infectada Reenviar a los nodos conectados

«GoSerpent puede establecer servidores proxy SOCKS5 para enrutar el tráfico a través de hosts comprometidos, permitiendo a los atacantes acceder a otras redes mientras ocultan sus verdaderas direcciones IP», explicó Kaspersky. «Esta puerta trasera puede implementar herramientas maliciosas adicionales como ThumbcacheService para la recopilación de archivos, Mimikatz para el volcado de credenciales y QuarksDumpLocalHash para la extracción del hash de contraseñas de cuentas locales».

Algunas de las otras herramientas implementadas durante el curso del ataque son:

McMx RAT (una herramienta básica de acceso remoto y proxy basada en Go que es una versión liviana de GoSerpent con funciones como proxy SOCKS5, reenvío de puertos, transferencia de archivos y shell remoto) ThumbcacheService (DLL que complementa GoSerpent con mecanismos avanzados de recopilación de archivos) Mimikatz (volca memoria y extrae material de credenciales de los procesos del Servicio del subsistema de la autoridad de seguridad local (LSASS)) QuarksDumpLocalHash (Extracto) Hash de contraseña de cuenta local de Colmena de registro SAM

Después de meses de recopilación de datos encubierta, los actores de amenazas detrás de esta operación supuestamente regresaron al entorno comprometido en mayo de 2026 e introdujeron un conjunto diferente de herramientas.

Stowaway, una herramienta de proxy y acceso remoto con proxy SOCKS5, reenvío de puertos, túnel inverso, acceso remoto a shell, transferencia de archivos y capacidades de túnel basado en SSH TmcLoader, un módulo de carga C++ con una carga útil cifrada llamada TmcPayload para extraer datos confidenciales almacenados en la máquina de la víctima

«Lo que hace que esta amenaza sea particularmente preocupante es el despliegue estratégico de una variedad de herramientas con capacidades sofisticadas de recopilación y exfiltración de datos», dijo Kaspersky. «La cadena de ThumbcacheService a TmcLoader/TmcPayload indica una planificación operativa avanzada».

Aunque la atribución clara no está clara, el proveedor de seguridad dijo que la campaña comparte objetivos, capacidades técnicas y superposiciones operativas con TetrisPhantom, un «actor de amenazas altamente capacitado e ingenioso» que se documentó por primera vez apuntando a agencias gubernamentales en la región de Asia-Pacífico (APAC) en octubre de 2023.

«Los atacantes explotaron un tipo específico de unidad USB segura protegida por cifrado de hardware para garantizar el almacenamiento seguro y la transferencia de datos entre sistemas informáticos para espiar en secreto y recopilar datos confidenciales de las agencias gubernamentales de APAC», dijo la compañía en ese momento.

«Esta campaña consta de varios módulos maliciosos a través de los cuales el atacante puede obtener un amplio control sobre el dispositivo de la víctima. Esto le permite al atacante ejecutar comandos, recopilar archivos e información de la máquina comprometida y transferirla a otras máquinas usando las mismas unidades USB seguras de portador o diferentes».

No hagas cadenas de ataque en equipo.

La revelación se produjo cuando Cyderes Howler Cell reveló detalles de una operación de ciberespionaje dirigida organizada por DoNot Team dirigida a instalaciones militares y de defensa en Bangladesh. Se utilizó un correo electrónico de phishing que contenía un documento RTF cargado de malware para establecer la persistencia de una tarea programada disfrazada de telemetría de OneDrive, perfilar el host y colocar un implante DLL que enviaba una baliza a un servidor C2 a través de HTTPS.

«RTF utiliza inyección remota de plantillas para capturar macros VBA y utiliza geocercas del lado del servidor para limitar la entrega de carga útil a las víctimas dentro de áreas específicas», dijeron los investigadores Reegun Jayapaul, Rahul Ramesh y Baskar M. «Una vez que se ejecuta la macro, se inyecta un código shell compatible con la arquitectura mediante la explotación de API basada en devolución de llamada. El código shell pasa por varias etapas codificadas en XOR, cada una extraída del mismo dominio C2 en una extensión de archivo de apariencia inocua».

Luego, este implante se utiliza para entregar una DLL de segunda etapa (‘ejtest.dll’) con funcionalidad de descarga modular para cargas útiles posteriores. La atribución a DoNot Team se basa en la entrega de carga útil geocercada que proporciona rutas de URI C2 similares, coincidencia de material de claves AES, técnicas de inyección de shellcode basadas en VBA y plantillas limpias para los que no son objetivos.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl informe de la ESA destaca el creciente papel de Europa en la economía espacial
Next Article ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365
corp@blsindustriaytecnologia.com
  • Website

Related Posts

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

julio 17, 2026

CISA agrega CVE-2026-58644 de día cero de SharePoint RCE explotado a KEV

julio 17, 2026

Dos piratas informáticos de Scattered Spider condenados a cinco años y medio cada uno por un hack de TfL de 29 millones de libras esterlinas

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

El informe de la ESA destaca el creciente papel de Europa en la economía espacial

CISA agrega CVE-2026-58644 de día cero de SharePoint RCE explotado a KEV

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.