Un categoría de ciberespionaje previamente indocumentado que opera desde Asia irrumpió en las redes de al menos 70 organizaciones gubernamentales y de infraestructura crítica en 37 países durante el año pasado, según nuevos hallazgos de la Dispositivo 42 de Palo Suspensión Networks.
Por otra parte, se ha observado que el equipo de piratas informáticos realizó registro activo contra la infraestructura oficial asociada con 155 países entre noviembre y diciembre de 2025. Algunas de las entidades que han sido comprometidas con éxito incluyen cinco entidades de aplicación de la ley/control fronterizo a nivel franquista, tres ministerios de finanzas y otros ministerios gubernamentales, y departamentos que se alinean con funciones económicas, comerciales, de medios naturales y diplomáticas.
La empresa de ciberseguridad está rastreando la actividad bajo el nombre de TGR-STA-1030donde “TGR” significa categoría de amenaza temporal y “STA” se refiere a motivación respaldada por el estado. La evidencia muestra que el actor de amenazas ha estado activo desde enero de 2024.
Si perfectamente el país de origen de los piratas informáticos aún no está claro, se considera que son de origen oriental, regalado el uso de herramientas y servicios regionales, las preferencias de configuración de idioma, la orientación consistente con eventos e inteligencia de interés para la región y su horario de operación GMT+8.
Se ha descubierto que las cadenas de ataque aprovechan los correos electrónicos de phishing como punto de partida para engañar a los destinatarios para que hagan clic en un enlace que apunta al servicio de alojamiento de archivos MEGA, con sede en Nueva Zelanda. El enlace aloja un archivo ZIP que contiene un ejecutable denominado Diaoyu Loader y un archivo de cero bytes llamado “pic1.png”.
“El malware emplea una barrera de ejecución de dos etapas para frustrar el prospección automatizado de la zona de pruebas”, dijo la Dispositivo 42. “Más allá del requisito de hardware de una resolución de pantalla horizontal decano o igual a 1440, la muestra realiza una comprobación de dependencia ambiental para un archivo específico (pic1.png) en su directorio de ejecución”.
La imagen PNG actúa como una comprobación de integridad basada en archivos que hace que el artefacto de malware finalice ayer de desencadenar su comportamiento nefasto en caso de que no esté presente en la misma ubicación. Sólo luego de que se cumple esta condición, el malware comprueba la presencia de programas de ciberseguridad específicos de Avira (“SentryEye.exe”), Bitdefender (“EPSecurityService.exe”), Kaspersky (“Avp.exe”), Sentinel One (“SentinelUI.exe”) y Symantec (“NortonSecurity.exe”).
 |
| Países objetivo del registro TGR-STA-1030 entre noviembre y diciembre de 2025 |
Actualmente no se sabe por qué los actores de amenazas han optado por agenciárselas sólo una selección limitada de productos. El objetivo final del cargador es descargar tres imágenes (“admin-bar-sprite.png”, “Linux.jpg” y “Windows.jpg”) de un repositorio de GitHub llamado “WordPress”, que sirven como conducto para la implementación de una carga útil de Cobalt Strike. La cuenta de GitHub asociada (“github(.)com/padeqav”) ya no está adecuado.
Además se ha observado que TGR-STA-1030 intenta explotar varios tipos de vulnerabilidades de día N que afectan a una gran cantidad de productos de software de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault y Eyou Email System para obtener llegada original a las redes de destino. No hay evidencia que indique que el categoría haya desarrollado o utilizado algún exploit de día cero en sus ataques.
Entre las herramientas utilizadas por el actor de amenazas se encuentran marcos de comando y control (C2), shells web y utilidades de tunelización.
Vale la pena señalar que el uso de los web shells mencionados anteriormente está frecuentemente vinculado a grupos de hackers chinos. Otra aparejo a destacar es un rootkit del kernel de Linux con nombre en código ShadowGuard que utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para ocultar detalles de información de procesos, interceptar llamadas críticas al sistema para ocultar procesos específicos de herramientas de prospección del espacio de beneficiario como ps y ocultar directorios y archivos llamados “swsecret”.
“El categoría alquila y configura asiduamente sus servidores C2 en infraestructura propiedad de una variedad de proveedores VPS legítimos y comúnmente conocidos”, dijo la Dispositivo 42. “Para conectarse a la infraestructura C2, el categoría alquila infraestructura VPS adicional que utiliza para transmitir el tráfico”.
El proveedor de ciberseguridad dijo que el adversario logró apoyar el llegada a varias de las entidades afectadas durante meses, lo que indica esfuerzos para compendiar inteligencia durante largos períodos de tiempo.
“TGR-STA-1030 sigue siendo una amenaza activa para el gobierno y la infraestructura crítica en todo el mundo. El categoría apunta principalmente a ministerios y departamentos gubernamentales con fines de espionaje”, concluyó. “Evaluamos que prioriza los esfuerzos contra países que han establecido o están explorando ciertas asociaciones económicas”.
“Si perfectamente este categoría podría estar persiguiendo objetivos de espionaje, sus métodos, objetivos y escalera de operaciones son alarmantes, con posibles consecuencias a prolongado plazo para la seguridad franquista y los servicios esencia”.
