Los investigadores de ciberseguridad están llamando la atención sobre la actividad maliciosa orquestada por un género de espionaje cibernético de China-Nexus conocido como Panda turbia Eso implica maltratar de las relaciones confiables en la aglomeración para violar las redes empresariales.
“El adversario además ha mostrado una capacidad considerable para armarse rápidamente las vulnerabilidades de N-Día y cero y con frecuencia logra el golpe auténtico a sus objetivos al explotar los electrodomésticos orientados a Internet”, dijo Crowdstrike en un crónica del jueves.
Murky Panda, además conocido como Typhoon de Silk (anteriormente Hafnium), es mejor conocido por su explotación de día cero de fallas de Microsoft Exchange Server en 2021. Los ataques montados por el género de piratería han dirigido al gobierno, tecnología, académica, reglamentario y entidades de servicios profesionales en América del Finalidad.
A principios de marzo, Microsoft detalló el cambio de tácticas del actor de amenaza, detallando su objetivo de la esclavitud de suministro de la tecnología de la información (TI) como un medio para obtener golpe auténtico a las redes corporativas. Se evalúa que las operaciones turbias de Panda están impulsadas por la resumen de inteligencia.
Al igual que otros grupos de piratería chinos, Murky Panda ha explotado los electrodomésticos de Internet para obtener el golpe auténtico y se cree que además ha comprometido los dispositivos de una pequeña oficina/oficina doméstica (SOHO) que se geolocan en el país objetivo como un nodo de salida para obstaculizar los esfuerzos de detección.
Otras vías de infección incluyen la explotación de fallas de seguridad conocidas en Citrix Netscaler ADC y NetScaler Gateway (CVE-2023-3519) y Commvault (CVE-2025-3928). El golpe auténtico se aprovecha para implementar proyectiles web como Neo-Regegeorg para establecer la persistencia y, en última instancia, soltar un malware personalizado llamado Cloudedhope.
Un binario ELF de 64 bits y escrito en Golang, Cloudedhope funciona como una utensilio básica de golpe remoto (RAT) mientras emplea medidas antianálisis y seguridad operativa (OPSEC), como modificar las marcas de tiempo y la matanza de indicadores de su presencia en entornos de víctimas para fugarse bajo el radar.
Pero un aspecto extraordinario de la artesanía de Murky Panda se refiere al exceso de las relaciones confiables entre las organizaciones asociadas y sus inquilinos en la aglomeración, explotando vulnerabilidades de día cero para violar los entornos de la aglomeración de los proveedores de software como servicio (SaaS) y resistir a agarradera un movimiento anexo a víctimas posteriores.
En al menos un caso observado a fines de 2024, se dice que el actor de amenazas comprometió a un proveedor de una entidad norteamericana y utilizó el golpe funcionario del proveedor al inquilino Entra Id de la entidad de la víctima para asociar una cuenta temporal de entrada trasera.
“Usando esta cuenta, el actor de amenazas luego fue trasero varios principios de servicio de ID de ID preexistentes relacionados con la gobierno y los correos electrónicos de Active Directory”, dijo CrowdStrike. “Los objetivos del adversario parecen atacados en la naturaleza en función de su enfoque en penetrar a los correos electrónicos”.
De turbio a origen
Otro actor de amenaza vinculado a China que ha demostrado ser hábil para manipular los servicios en la aglomeración es Comienzo pandaque se ha observado utilizando la infraestructura para la exfiltración básica y las cuentas de proveedor de servicios de nubes (CSP) para expandir el golpe y establecer mecanismos persistentes de alojamiento.
Activo desde al menos en enero de 2024, Genesis Panda se ha atribuido a operaciones de parada comba dirigidas a los sectores de servicios financieros, medios, telecomunicaciones y tecnología que abarcan 11 países. El objetivo de los ataques es permitir el golpe para futuras actividades de casa recoleta de inteligencia.
La posibilidad de que actúe como un corredor de golpe auténtico se deriva de la explotación del género de una amplia gradación de vulnerabilidades relacionadas con la web y exfiltración de datos limitados.
“Aunque Genesis Panda se dirige a una variedad de sistemas, muestran un interés constante en comprometer los sistemas alojados en la aglomeración para emplear el plano de control de la aglomeración para el movimiento anexo, la persistencia y la enumeración”, dijo CrowdStrike.
El adversario ha observado consultar “consistentemente” el servicio de metadatos de instancia (IMD) asociado con un servidor alojado en la aglomeración para obtener credenciales para el plano de control de la aglomeración y enumerar la red y las configuraciones generales de instancias. Además se sabe que usa credenciales, probablemente obtenidas de máquinas virtuales comprometidas (VM), para excavar más profundamente en la cuenta de la aglomeración del objetivo.
Los hallazgos ilustran cómo los grupos de piratería chinos se están volviendo cada vez más expertos en romper y navegar en entornos de nubes, al tiempo que priorizan el sigilo y la persistencia para certificar el golpe sostenido y la casa recoleta de datos encubiertos.
Panda de panda distante Sector de telecomunicaciones
El sector de telecomunicaciones, según CrowdStrike, ha sido testificador de un aumento del 130% en la actividad del estado-nación durante el año pasado, principalmente impulsado por el hecho de que son un riquezas de inteligencia. El final actor de amenaza para capacitar sus vistas en la industria erecto es un actor de amenaza china denominado Panda distante.
La huella geográfica del género de piratería zapatilla Afganistán, Hong Kong, India, Japón, Kenia, Malasia, México, Panamá, Filipinas, Taiwán, Tailandia y Estados Unidos.
“El panda distante es muy probable que realice intrusiones específicas para fines de casa recoleta de inteligencia, accediendo y exfiltrando registros de detalles de llamadas y telemetría de comunicaciones relacionadas de múltiples organizaciones de telecomunicaciones”, dijo la compañía de seguridad cibernética.
“El adversario se dirige principalmente a los sistemas Linux típicos en la industria de las telecomunicaciones, incluidas las distribuciones de sistemas operativos heredados que admiten tecnologías de telecomunicaciones más antiguas”.
Los candidatos a ataque implementados por el actor de amenazas utilizan vulnerabilidades de seguridad conocidas o contraseñas débiles dirigidas a servidores orientados a Internet y no administrados, con actividades de seguimiento que aprovechan los errores de subida de privilegios como CVE-2016-5195 (además conocido como vacuno sucia) y CVE-2021-4034 (aka PWNKIT).
Encima de tener fe en las técnicas de vida de la tierra (LOTL), las intrusiones del panda distante allanan el camino para el despliegue de componentes de OpenSsh Troyanizados, colectivamente con nombre en código SHIELDSLIDE, para reunir sesiones y credenciales de autenticación de usuarios.
“El SSH Binary del servidor SSH-Trojanizado de SSH además proporciona golpe a puerta trasera, autenticando cualquier cuenta (incluida la raíz) cuando se ingresa una contraseña codificada”, dijo CrowdStrike.
