Investigadores de ciberseguridad han revelado detalles de una nueva operación de espionaje vinculada a China dirigida a sectores gubernamentales y de defensa en el sur, este y sudeste de Asia, así como a los gobiernos europeos de la OTAN.
Trend Micro ha determinado que esta actividad es el resultado de un grupo de actividad de amenazas rastreado bajo la designación temporal SHADOW-EARTH-053. Se estima que este grupo hostil ha estado activo desde al menos diciembre de 2024, compartiendo cierta superposición de red con CL-STA-0049, Earth Alux y REF7707.
«El grupo explota vulnerabilidades de día N en servidores Microsoft Exchange y Internet Information Services (IIS) conectados a Internet (como la cadena ProxyLogon), implementa un shell web (Godzilla) para acceso persistente y organiza implantes ShadowPad a través de descargas DLL de ejecutables legítimos firmados», dijeron en su análisis los investigadores de seguridad Daniel Lunghi y Lucas Silva.
Los países destinatarios de la campaña incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. Polonia es el único país europeo con una huella única de actor de amenazas.
El proveedor de ciberseguridad confirmó que casi la mitad de los objetivos de SHADOW-EARTH-053, particularmente aquellos en Malasia, Sri Lanka y Myanmar, fueron previamente comprometidos por un conjunto relacionado de intrusiones conocido como SHADOW-EARTH-054, pero dijo que no observó evidencia de coordinación operativa directa.
El punto de partida de un ataque es explotar fallos de seguridad conocidos para comprometer sistemas sin parches y soltar un shell web similar a Godzilla para facilitar el acceso remoto persistente. El web shell actúa como un vehículo de entrega para la ejecución de comandos, lo que permite el reconocimiento y, en última instancia, conduce a la implementación de la puerta trasera ShadowPad a través de AnyDesk. El malware se inicia mediante la descarga de DLL.
En al menos un caso, se dice que la utilización de React2Shell (CVE-2025-55182) como arma facilitó la distribución de versiones para Linux de Noodle RAT (también conocido como ANGRYREBEL y Nood RAT). Vale la pena mencionar aquí que Google Threat Intelligence Group (GTIG) ha vinculado esta cadena de ataque a un grupo conocido como UNC6595.
También utiliza herramientas de tunelización de código abierto como IOX, GO Simple Tunnel (GOST), Wstunnel y RingQ para empaquetar archivos binarios maliciosos y evadir la detección. Para facilitar la escalada de privilegios, se sabe que SHADOW-EARTH-053 usa Mimikatz, mientras que el movimiento lateral se logra usando un iniciador personalizado de Protocolo de escritorio remoto (RDP) y una implementación C# de SMBExec conocida como Sharp-SMBExec.
«El principal vector de entrada utilizado en esta campaña fue una vulnerabilidad en una aplicación IIS orientada a Internet», dijo Trend Micro. «Las organizaciones deben priorizar la aplicación de las últimas actualizaciones de seguridad y parches acumulativos a las aplicaciones web alojadas en Microsoft Exchange e IIS».
«En escenarios donde no es posible aplicar parches de inmediato, recomendamos encarecidamente implementar un sistema de prevención de intrusiones (IPS) o un firewall de aplicaciones web (WAF) con conjuntos de reglas específicamente diseñados para bloquear los intentos de explotación contra estos CVE (parches virtuales) conocidos».
GLITTER CARP y SEQUIN CARP apuntan a activistas y periodistas
La divulgación se produce después de que Citizen Lab advirtiera sobre nuevas campañas de phishing llevadas a cabo por dos actores de amenazas diferentes vinculados a China que apuntan y se hacen pasar por periodistas y la sociedad civil, incluidos activistas uigures, tibetanos, taiwaneses y de la diáspora de Hong Kong. Esta campaña generalizada se detectó por primera vez en abril y junio de 2025, respectivamente.
El grupo recibió el nombre en código «GLITTER CARP», que identificaba específicamente al Consorcio Internacional de Periodistas de Investigación (ICIJ), y «SEQUIN CARP», que apuntaba principalmente a la periodista del ICIJ Shira Aletsch y otros periodistas internacionales que escribían sobre asuntos de importante interés para el gobierno chino.
«Los atacantes están utilizando esquemas de suplantación de identidad digital bien pensados en sus correos electrónicos de phishing, incluida la suplantación de personas conocidas y alertas de seguridad de empresas de tecnología», dijo Citizen Lab. «Aunque los grupos objetivo varían, esta campaña emplea la misma infraestructura y tácticas en todos los casos, con los mismos dominios y las mismas personas suplantadas frecuentemente reutilizadas en múltiples objetivos».
Además de realizar ataques de phishing a gran escala, GLITTER CARP también participa en operaciones de phishing dirigidas a la industria de semiconductores en Taiwán. Algunos aspectos de estos esfuerzos fueron documentados previamente por Proofpoint en julio de 2025 con el nombre UNK_SparkyCarp. SEQUIN CARP, por otro lado, comparte similitudes con el grupo rastreado por Volexity como UTA0388 y el conjunto de intrusión detallado por Trend Micro como TAOTH.
El objetivo final de la campaña es obtener acceso inicial a cuentas de correo electrónico mediante la recolección de credenciales, páginas de phishing o mediante ingeniería social del objetivo para otorgar acceso a tokens OAuth de terceros. Los correos electrónicos de phishing de GLITTER CARP también utilizan un píxel de seguimiento de 1×1 que apunta a una URL en el dominio del atacante para recopilar información del dispositivo y determinar si fue abierto por el destinatario.
Citizen Lab dijo que «observó ataques a organizaciones específicas utilizando simultáneamente kits de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) y entregas de HealthKick utilizando varias tácticas de phishing por parte de otro grupo (UNK_DropPitch)». Esto indica que existe cierta superposición entre estos grupos, pero la naturaleza exacta de la relación sigue sin estar clara, añadió.
«El análisis de los ataques GLITTER CARP y SEQUIN CARP muestra que la represión transnacional digital funciona cada vez más a través de redes distribuidas de atacantes», dijo el departamento de investigación. «Los objetivos que hemos identificado tanto en GLITTER CARP como en SEQUIN CARP son consistentes con las prioridades de inteligencia del gobierno chino».
«La amplitud de los objetivos descritos en este y otros informes, combinada con la información disponible sobre el uso pasado y actual de contratistas por parte de China que reflejan las actividades que observamos, sugiere con confianza media que entidades comerciales contratadas por el estado chino pueden estar detrás de ambos grupos de actividades descritas aquí».
Source link
