Un actor de amenaza de China-Nexus conocido como UNC6384 se ha atribuido a un conjunto de ataques dirigidos a diplomáticos en el sudeste oriental y otras entidades de todo el mundo para avanzar en los intereses estratégicos de Beijing.
“Esta condena de ataque de varias etapas aprovecha la ingeniería social vanguardia, incluidos los certificados de firma de código válidos, un ataque adversario en el medio (AITM) y las técnicas de ejecución indirecta para evitar la detección”, dijo el investigador de Google Amenazing Intelligence Group (GTIG) Patrick Whitsell.
UNC6384 se evalúa para compartir superposiciones tácticas y de herramientas con un asociación de piratería chino conocido llamado Mustang Panda, que igualmente se rastrea como cuenca, presidente de bronce, dragón de Camaro, preta de la tierra, honeymyte, reddelta, lich rojo, estancia taurus, temp.hex y typhoon timilos.
La campaña, detectada por GTIG en marzo de 2025, se caracteriza por el uso de una redirección de portal cautivo para secuestrar el tráfico web y entregar un descargador firmado digitalmente llamado StaticPlugin. El descargador luego allana el camino para la implementación en memoria de una reforma plugx (igualmente conocida como KorPlug o Sogu) emplazamiento Sogu.Sec.
Plugx es una puerta trasera que admite comandos para exfiltrar archivos, registrar las teclas de teclas, iniciar un shell de comando remoto, cargar/descargar archivos, y puede extender su funcionalidad con complementos adicionales. A menudo se vara a través de la carga colateral de DLL, el implante se extiende a través de unidades flash USB, correos electrónicos de phishing dirigidos que contienen archivos adjuntos o enlaces maliciosos, o descargas de software comprometidas.
El malware ha existido desde al menos 2008 y es ampliamente utilizado por grupos de piratería chinos. Se cree que ShadowPad es el sucesor de Plugx.
La condena de ataque de UNC6384 es conveniente sencilla en que las tácticas adversas en el medio (AITM) y la ingeniería social se utilizan para entregar el malware Tugx-
- El navegador web del objetivo prueba si la conexión a Internet está detrás de un portal cautivo
- Un AITM redirige el navegador a un sitio web controlado por el actor de amenaza
- Staticplugin se descarga de “MediarEeseUpdates (.) Com”
- Staticplugin recupera un paquete MSI del mismo sitio web
- CanonStager está cargada de DLL e implementa la puerta trasera Sogu.Sec en la memoria
El secuestro de Portal Captive se utiliza para entregar malware disfrazados de una aggiornamento de complementos de Adobe a entidades específicas. En el navegador Chrome, la funcionalidad del portal cautivo se logra mediante una solicitud a una URL codificada (“www.gstatic (.) Com/generate_204”) que redirige a los usuarios a una página de inicio de sesión Wi-Fi.
Mientras que “Gstatic (.) Com” es un dominio de Google auténtico utilizado para acumular el código JavaScript, las imágenes y las hojas de estilo como una forma de mejorar el rendimiento, Google dijo que los actores de amenaza probablemente están llevando a punta un ataque de AITM para imitar las cadenas de redirección desde la página del portal cautivo a la página de la web de aterrizaje del actor de amenazas.
Se evalúa que el AITM se facilita mediante dispositivos de borde comprometidos en las redes de destino, aunque el vector de ataque utilizado para alcanzar esto sigue siendo desconocido en esta etapa.
“A posteriori de ser redirigido, el actor de amenaza intenta engañar al objetivo para que crea que se necesita una aggiornamento de software y descargar la malware disfrazada de ‘aggiornamento del complemento'”, dijo Gtig. “La página web de aterrizaje se asemeja a un sitio de aggiornamento de software auténtico y utiliza una conexión HTTPS con un certificado TLS válido emitido por Let’s Cintpt”.
El resultado final es la descarga de un ejecutable llamado “AdoBePlugins.exe” (igualmente conocido como StaticPlugin) que, cuando se lanzó, desencadena la carga útil de Sogu.Sec en el fondo utilizando una DLL denominada CanonStager (“CNMPaui.dll”) que está acudiendo utilizando la utensilio Canon IJ de la Interrupción (“CNMPaui.Exe”). “).”).
El descargador de staticplugin está firmado por Chengdu Nuoxin Times Technology Co., Ltd con un certificado válido emitido por GlobalSign. Más de dos docenas de muestras de malware firmadas por Chengdu han sido utilizadas por los grupos de actividad de China-Nexus, con los primeros artefactos que se remontan al menos en enero de 2023. Exactamente cómo el suscriptor obtiene estos certificados.
“Esta campaña es un claro ejemplo de la progreso continua de las capacidades operativas de UNC6384 y destaca la sofisticación de los actores de amenaza de PRC-Nexus”, dijo Whitsell. “El uso de técnicas avanzadas como AITM combinada con firma de código válida e ingeniería social en capas demuestra las capacidades de esta amenaza del actor”.
