Se cree que un actor de amenazas alineado con China con nombre en código UTA0388 está involucrado en una serie de campañas de phishing dirigidas a América del Norte, Asia y Europa con el objetivo de entregar un implante basado en Go conocido como GOVERSHELL.
«La campaña observada inicialmente se adaptó a los objetivos, con mensajes supuestamente enviados por investigadores y analistas de alto nivel de la organización que parecían legítimos y fueron completamente inventados», dijo Volexity en un informe el miércoles. «El objetivo de estas campañas de phishing era diseñar socialmente objetivos para que hicieran clic en un enlace que los dirigía a un archivo alojado remotamente que contenía una carga maliciosa».
Desde entonces, se dice que los atacantes detrás del ataque utilizan una variedad de señuelos e identidades ficticias en varios idiomas, incluidos inglés, chino, japonés, francés y alemán.
Se descubrió que las primeras campañas incluían enlaces integrados a contenido de phishing alojado en servicios basados en la nube o en infraestructura patentada, lo que en algunos casos conducía a la implementación de malware. Sin embargo, se dice que las oleadas posteriores están «altamente orquestadas», y los atacantes dependen de tomarse el tiempo para generar confianza con los destinatarios antes de enviar el enlace. Esta es una técnica llamada phishing para generar confianza.
Independientemente del enfoque utilizado, el enlace conduce a un archivo ZIP o RAR que contiene una carga útil DLL maliciosa que se inicia mediante la descarga de DLL. La carga útil es una puerta trasera desarrollada activamente llamada GOVERSHELL. Vale la pena señalar que esta actividad se superpone con un grupo rastreado por Proofpoint con el nombre UNK_DropPitch. Volexity caracteriza a GOVERSHELL como el sucesor de una familia de malware C++ llamada HealthKick.
Hasta la fecha se han identificado cinco variantes diferentes de GOVERSHELL.
HealthKick (visto por primera vez en abril de 2025) TE32 con la capacidad de ejecutar comandos usando cmd.exe (visto por primera vez en junio de 2025) TE64 con la capacidad de ejecutar comandos directamente a través del shell inverso de PowerShell (visto por primera vez a principios de julio de 2025) Use PowerShell para ejecutar comandos nativos y dinámicos, recuperar información del sistema, la hora actual del sistema y powershell.exe La capacidad de ejecutar comandos y sondear servidores externos a través de WebSockets (visto por primera vez en mediados de julio de 2025) para obtener nuevas instrucciones. Proporciona la capacidad de ejecutar comandos de PowerShell a través de powershell.exe, así como el subcomando «actualizar» no implementado como parte del comando del sistema. Baliza (vista por primera vez en septiembre de 2025). Tiene la capacidad de ejecutar comandos nativos y dinámicos para establecer y aleatorizar intervalos de sondeo básicos o ejecutar comandos de PowerShell usando PowerShell. powershell.exe
Los servicios legítimos explotados para almacenar archivos incluyen Netlify, Sync y OneDrive, pero se identificó que los mensajes de correo electrónico provenían de Proton Mail, Microsoft Outlook y Gmail.
Lo notable del arte comercial de UTA0388 es que utiliza OpenAI ChatGPT para generar contenido para campañas de phishing en inglés, chino y japonés. Facilitar flujos de trabajo maliciosos. Encuentre información relacionada con la instalación de herramientas de código abierto como nuclei y fscan revelada por empresas de inteligencia artificial a principios de esta semana. Posteriormente, la cuenta ChatGPT utilizada por el actor de amenazas fue prohibida.
Según Volexity, el uso de modelos de lenguaje a gran escala (LLM) para mejorar las operaciones se evidencia en las mentiras generalizadas en los correos electrónicos de phishing, desde la persona utilizada para enviar el mensaje hasta la falta general de coherencia en el contenido del mensaje.
«El objetivo de esta campaña es consistente con actores de amenazas interesados en cuestiones geopolíticas en Asia, con un enfoque particular en Taiwán», agregó la compañía. «A partir de los correos electrónicos y archivos utilizados en esta campaña, Volexity evalúa con confianza media que UTA0388 utilizó automatización (como LLM) para generar y enviar este contenido a sus objetivos, en algunos casos con poca o ninguna supervisión humana».
La revelación se produce en medio del anuncio de StrikeReady Labs de que una supuesta operación de ciberespionaje vinculada a China tiene como objetivo el sector de la aviación del gobierno serbio, así como otras instituciones europeas en Hungría, Bélgica, Italia y los Países Bajos.
La campaña, identificada a finales de septiembre, envía correos electrónicos de phishing que contienen enlaces que, al hacer clic, redirigen a las víctimas a una página de verificación CAPTCHA falsa de Cloudflare y descargan un archivo ZIP. En su interior hay un archivo de acceso directo de Windows (LNK) que ejecuta un PowerShell que abre un documento señuelo e inicia secretamente PlugX mediante la descarga de DLL.
Source link
