Los actores de amenaza relacionados con China detrás de la reciente explotación salvaje en SAP Netweaver se han atribuido a un conjunto más amplio de ataques dirigidos a organizaciones en Brasil, India y el sudeste asiático desde 2023.
«Los actores de amenaza están dirigidos principalmente a acceder a los servidores SQL de la organización objetivo al dirigirse a las vulnerabilidades de inyección SQL descubiertas en aplicaciones web», dijo Joseph C Chen de Tending Micro Security Investigador en un análisis publicado esta semana. «Los actores también están aprovechando una variedad de vulnerabilidades conocidas para aprovechar los servidores públicos».
Otros objetivos prominentes de grupos hostiles incluyen Indonesia, Malasia, Filipinas, Tailandia y Vietnam.
La compañía de ciberseguridad rastrea sus actividades bajo la Lamia de la Tierra en el apodo, diciendo que las actividades comparten cierto grado de superposición con el clúster de amenazas documentado por el Laboratorio de Seguridad Elástica, STAC6451 por Sophos y el CL-STA-0048 por Palo Alto Networks Unit 42.
Cada uno de estos ataques apunta a las organizaciones en múltiples sectores en el sur de Asia, a menudo aprovechando los servidores de Microsoft SQL y otras instancias expuestas a Internet para llevar a cabo el reconocimiento, desplegando herramientas posteriores a la extracción de Cobalt como Strike and SuperShell, y utilizando Laksasa y stowway para establecer túneles proxy en la red de Vicim.
También se utilizan herramientas de escalada privilegiadas como Godpotato y Juicypotato. Utilidades de escaneo de red como FSCAN y KSCAN. Programas legítimos como Wevtutil.exe limpian las aplicaciones, sistemas y registros de eventos de seguridad.
La intrusión seleccionada dirigida a entidades indias intentó desplegar binarios de ransomware imitantes para cifrar los archivos de las víctimas, pero los esfuerzos no tuvieron éxito en gran medida.
«Vi a los actores organizar los binarios del ransomware imitador en todos los casos observados, pero el ransomware a menudo no funcionaba correctamente, y en algunos casos los actores intentaban eliminar los binarios después del despliegue», dijo Sophos en un análisis publicado en agosto de 2024.
Luego, a principios de este mes, Eclecticiq reveló que CL-STA-0048 es uno de los muchos grupos cibernéticos chinos y nexus que explotan CVE-2025-31324.
Además de CVE-2025-31324, se dice que el equipo de piratería ha armado ocho vulnerabilidades diferentes para violar los servidores de orientación pública-
Describiendo «muy activo», Trend Micro señaló que los actores de amenaza han cambiado su enfoque de los servicios financieros a la logística y el comercio minorista en línea y, más recientemente, a empresas de TI, universidades y organizaciones gubernamentales.
«Observamos al principio y antes de 2024 que la mayoría de sus objetivos eran organizaciones dentro de la industria financiera, particularmente relacionadas con valores e intermediarios», dijo la compañía. «A finales de 2024, cambiaron sus objetivos a las organizaciones principalmente en la logística y la industria minorista en línea. Recientemente, notaron que Target se ha mudado nuevamente a empresas, universidades y organizaciones gubernamentales».
Una técnica notable adoptada por Earth Lamia está lanzando puestas personalizadas como Pulsepack a través de laselo Sideloads de DLL. Este es un enfoque ampliamente aceptado entre los grupos de piratería chinos. Pulsepack, un implante modular basado en .NET, se comunica con servidores remotos para recuperar varios complementos y realizar funciones.
Trend Micro dijo en marzo de 2025 que observó una versión actualizada de la puerta trasera que cambia los métodos de comunicación de comando y control (C2) de TCP a WebSocket, lo que indica el desarrollo agresivo continuo de malware.
«Earth Lamia está activa en negocios en múltiples países e industrias con una intención positiva», concluyó. «Al mismo tiempo, los actores de amenazas mejorarán continuamente sus tácticas ofensivas mediante el desarrollo de herramientas de piratería personalizadas y nuevas puertas traseras».
Source link
