Se ha atribuido a un actor de amenazas vinculado a China un ciberataque dirigido a una ordenamiento sin fines de interés estadounidense con el objetivo de establecer una persistencia a extenso plazo, como parte de una actividad más amplia dirigida a entidades estadounidenses que están vinculadas o involucradas en cuestiones de política.
La ordenamiento, según un referencia de los equipos Symantec y Carbon Black de Broadcom, está “activa en el intento de influir en la política del gobierno de Estados Unidos en cuestiones internacionales”. Los atacantes lograron alcanzar a la red durante varias semanas en abril de 2025.
La primera señal de actividad se produjo el 5 de abril de 2025, cuando se detectaron esfuerzos de escaneo masivo en un servidor aprovechando varios exploits conocidos, incluidos CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) y CVE-2017-17562 (GoAhead Web). Servidor).
No se registraron más acciones hasta el 16 de abril, cuando los ataques ejecutaron varios comandos curl para probar la conectividad a Internet, luego de lo cual se ejecutó la utensilio de tilde de comandos de Windows netstat para compendiar información de configuración de red. A esto le siguió la configuración de la persistencia en el host mediante una tarea programada.
La tarea fue diseñada para ejecutar un binario razonable de Microsoft “msbuild.exe” para ejecutar una carga útil desconocida, así como para crear otra tarea programada que está configurada para ejecutarse cada 60 minutos como un becario de SISTEMA con altos privilegios.
Esta nueva tarea, dijeron Symantec y Carbon Black, era capaz de cargar e inyectar código desconocido en “csc.exe” que finalmente establecía comunicaciones con un servidor de comando y control (C2) (“38.180.83(.)166”). Después, se observó a los atacantes ejecutando un cargador personalizado para descomprimir y ejecutar una carga útil no especificada, probablemente un troyano de acercamiento remoto (RAT) en la memoria.
Igualmente se observó la ejecución del componente razonable Vipre AV (“vetysafe.exe”) para descargar un cargador de DLL (“sbamres.dll”). Igualmente se dice que este componente se utilizó para la carga pegado de DLL en relación con Deed RAT (además conocido como Snappybee) en actividades anteriores atribuidas a Salt Typhoon (además conocido como Earth Estries) y en ataques atribuidos a Earth Longzhi, un subgrupo de APT41.
“Una copia de esta DLL maliciosa se utilizó anteriormente en ataques vinculados a los actores de amenazas con sede en China conocidos como Space Pirates”, dijo Broadcom. “Una modificación de este componente, con un nombre de archivo diferente, además fue utilizada por el género chino APT Kelp (además conocido como Salt Typhoon) en un incidente separado”.
Algunas de las otras herramientas observadas en la red objetivo incluyeron Dcsync e Imjpuexc. No está claro qué tan exitosos fueron los atacantes en sus esfuerzos. No se registró actividad adicional luego del 16 de abril de 2025.
“De la actividad de esta víctima se desprende claramente que los atacantes buscaban establecer una presencia persistente y sigilosa en la red, y además estaban muy interesados en atacar los controladores de dominio, lo que potencialmente podría permitirles propagarse a muchas máquinas en la red”, dijeron Symantec y Carbon Black.
“El intercambio de herramientas entre grupos ha sido una tendencia de larga data entre los actores de amenazas chinos, lo que hace difícil opinar qué género específico está detrás de un conjunto de actividades”.
La divulgación se produce cuando un investigador de seguridad que se hace emplazar BartBlaze reveló la explotación por parte de Salt Typhoon de una descompostura de seguridad en WinRAR (CVE-2025-8088) para iniciar una esclavitud de ataque que descarga una DLL responsable de ejecutar shellcode en el host comprometido. La carga útil final está diseñada para establecer contacto con un servidor remoto (“mimosa.gleeze(.)com”).
Actividad de otros grupos de hackers chinos
Según un referencia de ESET, los grupos alineados con China han seguido activos, atacando entidades en Asia, Europa, América Latina y Estados Unidos para servir a las prioridades geopolíticas de Beijing. Algunas de las campañas notables incluyen:
- El ataque al sector energético en Asia Central por parte de un actor de amenazas con nombre en código Speccom (además conocido como IndigoZebra o SMAC) en julio de 2025 a través de correos electrónicos de phishing para entregar una modificación de BLOODALCHEMY y puertas traseras personalizadas como kidsRAT y RustVoralix.
- El ataque a organizaciones europeas por parte de un actor de amenazas con nombre en código DigitalRecyclers en julio de 2025, utilizando una técnica de persistencia inusual que implicaba el uso de la utensilio de accesibilidad Magnifier para obtener privilegios del SISTEMA.
- El ataque a entidades gubernamentales en América Latina (Argentina, Ecuador, Guatemala, Honduras y Panamá) entre junio y septiembre de 2025 por parte de un actor de amenazas con nombre en código FamousSparrow que probablemente aprovechó las fallas de ProxyLogon en Microsoft Exchange Server para implementar SparrowDoor.
- El ataque a una empresa taiwanesa en el sector de la aviación de defensa, una ordenamiento comercial estadounidense con sede en China y las oficinas con sede en China de una entidad público griega y un organismo público ecuatoriano entre mayo y septiembre de 2025 por parte de un actor de amenazas con nombre en código SinisterEye (además conocido como LuoYu y Cascade Panda) para entregar malware como WinDealer (para Windows) y SpyDealer (para Android) utilizando ataques de adversario en el medio (AitM) para secuestrar mecanismos legítimos de aggiornamento de software.
- El ataque a una empresa japonesa y a una empresa multinacional, ambas en Camboya, en junio de 2025 por parte de un actor de amenazas con nombre en código PlushDaemon mediante el envenenamiento de AitM para entregar SlowStepper.
“PlushDaemon logra el posicionamiento AitM comprometiendo dispositivos de red como enrutadores e implementando una utensilio que hemos llamado EdgeStepper, que redirige el tráfico DNS desde la red objetivo a un servidor DNS remoto controlado por el atacante”, dijo ESET.
“Este servidor alega a consultas de dominios asociados con la infraestructura de aggiornamento de software con la dirección IP del servidor web que realiza el secuestro de actualizaciones y, en última instancia, sirve a la puerta trasera insignia de PlushDaemon, SlowStepper”.
Grupos de hackers chinos atacan servidores IIS mal configurados
En los últimos meses, los cazadores de amenazas además han detectado a un actor de amenazas de palabra china que apunta a servidores IIS mal configurados utilizando claves de máquina expuestas públicamente para instalar una puerta trasera emplazamiento TOLLBOOTH (además conocida como HijackServer) que viene con encubrimiento SEO y capacidades de shell web.
“REF3927 abusa de claves de máquina ASP.NET divulgadas públicamente para comprometer servidores IIS e implementar módulos de encubrimiento SEO TOLLBOOTH a nivel mundial”, dijeron investigadores de Elastic Security Labs en un referencia publicado a fines del mes pasado. Según HarfangLab, la operación ha infectado cientos de servidores en todo el mundo, con infecciones concentradas en India y EE. UU.
Los ataques además se caracterizan por intentos de convertir el acercamiento original en un armas para eliminar el shell web de Godzilla, ejecutar la utensilio de acercamiento remoto GotoHTTP, usar Mimikatz para recoger credenciales e implementar HIDDENDRIVER, una lectura modificada del rootkit de código extenso Hidden, para ocultar la presencia de cargas avíos maliciosas en la máquina infectada.
Vale la pena señalar que el clúster es la última incorporación a una larga tira de actores de amenazas chinos, como GhostRedirector, Operation Rewrite y UAT-8099, que se han dirigido a servidores IIS, lo que indica un aumento en dicha actividad.
“Si acertadamente los operadores maliciosos parecen estar usando el chino como idioma principal y aprovechando los compromisos para respaldar la optimización de motores de búsqueda (SEO), notamos que el módulo implementado ofrece un canal persistente y no autenticado que permite a cualquier parte ejecutar comandos de forma remota en los servidores afectados”, dijo la compañía francesa de ciberseguridad.
