Los investigadores de ciberseguridad están arrojando luz sobre un actor de amenaza previamente indocumentado llamado Nighteagle (también conocido como APT-Q-95), que se ha observado que se dirige a los servidores de intercambio de Microsoft como parte de una cadena de exploites de día cero que se dirige a los sectores del gobierno, defensa y tecnología de China.
Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023, cambiando la infraestructura de red a velocidades extremadamente rápidas. Los hallazgos se presentaron en Cydes 2025, la tercera edición de la Exposición y Conferencia de Seguridad Cibernética Nacional de Malasia, que se llevará a cabo del 1 al 3 de julio de 2025.
«Parece que está funcionando por la noche en China», dijo el vendedor de ciberseguridad, explicando la lógica detrás del nombre de Nainasguru.
Los ataques montados por los actores de amenaza lograron el objetivo principal de las entidades de una sola salida que operan en semiconductores de alta tecnología, tecnología cuántica, inteligencia artificial y verticales militares, y recolectando inteligencia.
La compañía también señaló que comenzó su investigación después de descubrir una versión a medida de la utilidad de cincel basada en GO, uno de sus puntos finales de clientes configurados para comenzar automáticamente cada cuatro horas como parte de una tarea programada.
«El atacante logró la función de penetración de intranet modificando el código fuente de la herramienta de penetración de intranet de cincel de código abierto, parámetros de ejecución codificados con codificación, utilizando el nombre de usuario y la contraseña especificados, estableciendo una conexión de calcetín con el extremo 443 de la dirección C&C especificada y mapeando al puerto especificado del host C&C.
Se dice que el troyano está entregado por un cargador .NET, y está integrado en el servicio de Información de Información de Internet (IIS) en Microsoft Exchange Server. Un análisis posterior determinó la existencia de días cero que permiten a un atacante obtener una máquina de ametralladora y obtener acceso no autorizado al servidor de Exchange.
«El atacante podría desestimar el servidor de Exchange utilizando la clave, portando así el troyano a un servidor que se ajusta a la versión de intercambio, lo que permite a cualquiera leer los datos del buzón de buzón de forma remota», dice el informe.
Qianxin argumentó que la actividad probablemente sería obra de actores de amenaza de América del Norte, dado que el ataque tuvo lugar entre las 9 p.m. y las 6 a.m. Hacker News contactó a Microsoft para hacer más comentarios. Actualizaré la historia si recibo una respuesta.
Source link
