El actor de amenaza vinculado a China detrás de la nuevo explotación en el banquillo de un defecto de seguridad crítico en SAP Netweaver se ha atribuido a un conjunto más amplio de ataques dirigidos a organizaciones en Brasil, India y el sudeste de Asia desde 2023.
“El actor de amenazas se dirige principalmente a las vulnerabilidades de inyección SQL descubiertas en las aplicaciones web para lograr a los servidores SQL de organizaciones específicas”, dijo el investigador de tendencia Micro Security Joseph C Chen en un descomposición publicado esta semana. “El actor incluso aprovecha varias vulnerabilidades conocidas para explotar los servidores de orientación pública”.
Algunos de los otros objetivos prominentes del colectivo adversario incluyen Indonesia, Malasia, Filipinas, Tailandia y Vietnam.
La compañía de ciberseguridad está rastreando la actividad bajo el apodo Lamia de la tierradeclarando que la actividad comparte cierto fracción de superposición con grupos de amenazas documentados por elásticos laboratorios de seguridad como Ref0657, Sophos como STAC6451 y Palo Stop Networks Unit 42 como CL-SA-0048.
Cada uno de estos ataques ha dirigido a organizaciones que abarcan múltiples sectores en el sur de Asia, a menudo aprovechando los servidores SQL de Microsoft expuestos a Internet y otras instancias para aceptar a extremo el examen, implementar herramientas de explotación posteriores como Cobalt Strike y SuperShell, y establecer túneles proxy a las redes víctimas utilizando Rakshasa y Stawaway.
Incluso se utilizan herramientas de ascensión de privilegios como Godpotato y Juicypotato; utilidades de escaneo de red como FSCAN y KSCAN; y programas legítimos como wevtutil.exe para purificar los registros de la aplicación, el sistema y los eventos de seguridad de Windows.
Las intrusiones seleccionadas dirigidas a las entidades indias incluso han intentado desplegar binarios de ransomware imitados para acortar archivos de víctimas, aunque los esfuerzos no tuvieron éxito en gran medida.
“Si acertadamente se vio a los actores organizando los binarios de ransomware MIMIC en todos los incidentes observados, el ransomware a menudo no se ejecutaba con éxito, y en varios casos, se vio a los actores intentar eliminar los binarios a posteriori de ser desplegados”, señaló Sophos en un descomposición publicado en agosto de 2024.
Luego, a principios de este mes, Eclecticiq reveló que CL-STA-0048 fue uno de los muchos grupos de espionaje cibernético de China-Nexus para explotar CVE-2025-31324, una vulnerabilidad crítica de carga de archivos no autorenticada en SAP Netweaver para establecer un caparazón inversa a infraestructura bajo su control.
Adicionalmente de CVE-2025-31324, se dice que el equipo de piratería ha armado hasta ocho vulnerabilidades diferentes para violar los servidores públicos,
Al describirlo como “en extremo activo”, Trend Micro señaló que el actor de amenaza ha cambiado su enfoque de los servicios financieros a la transporte y el comercio minorista en andana, y más recientemente, a empresas de TI, universidades y organizaciones gubernamentales.
“A principios de 2024 y anteriores, observamos que la mayoría de sus objetivos eran organizaciones en el interior de la industria financiera, específicamente relacionadas con títulos y corretaje”, dijo la compañía. “En la segunda fracción de 2024, trasladaron sus objetivos a organizaciones principalmente en la transporte y las industrias minoristas en andana. Recientemente, notamos que sus objetivos han cambiado nuevamente a empresas de TI, universidades y organizaciones gubernamentales”.
Una técnica trascendente adoptada por Earth Lamia es difundir sus puertas traseras personalizadas como PulsePack a través de la carga contiguo de DLL, un enfoque ampliamente adoptivo por los grupos de piratería chinos. PulsePack, un implante basado en .NET modular, se comunica con un servidor remoto para recuperar varios complementos para aceptar a extremo sus funciones.
Trend Micro dijo que observó en marzo de 2025 una lectura actualizada de la puerta trasera que cambia el método de comunicación de comando y control (C2) de TCP a WebSocket, lo que indica un avance continuo activo del malware.
“Earth Lamia está llevando a extremo sus operaciones en múltiples países e industrias con intenciones agresivas”, concluyó. “Al mismo tiempo, el actor de amenaza refina continuamente sus tácticas de ataque mediante el avance de herramientas de piratería personalizadas y nuevas puertas traseras”.
