Un actor de amenazas con vínculos con China ha sido atribuido a una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso, lo que marca la expansión del asociación de hackers al país más allá del sudeste oriental y América del Sur.
Symantec, propiedad de Broadcom, ha atribuido la actividad, que tuvo circunscripción de enero a mayo de 2025, a un actor de amenazas al que rastrea como gemaque, según dijo, se superpone con grupos conocidos como CL-STA-0049 (Dispositivo 42 de Palo Stop Networks), Earth Alux (Trend Micro) y REF7707 (Elastic Security Labs).
Los hallazgos sugieren que Rusia no está fuera del magnitud de las operaciones de ciberespionaje chinas a pesar del aumento de las relaciones “militares, económicas y diplomáticas” entre Moscú y Beijing a lo extenso de los abriles.
“Los atacantes tenían ataque a repositorios de códigos y sistemas de creación de software que podrían emplear para aceptar a punta ataques a la sujeción de suministro dirigidos a los clientes de la empresa en Rusia”, dijo el Symantec Threat Hunter Team en un mensaje compartido con The Hacker News. “Cerca de destacar asimismo que los atacantes estaban extrayendo datos a Yandex Cloud”.
Se estima que Earth Alux está activo desde al menos el segundo trimestre de 2023, con ataques dirigidos principalmente a gobiernos, tecnología, abastecimiento, manufactura, telecomunicaciones, servicios de TI y comercio minorista en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM) para distribuir malware como VARGEIT y COBEACON (asimismo conocido como Cobalt Strike Beacon).
Por otro banda, se ha observado que los ataques montados por CL-STA-0049/REF7707 distribuyen una puerta trasera destacamento indicación FINALDRAFT (asimismo conocida como Squidoor) que es capaz de infectar sistemas tanto Windows como Linux. Los hallazgos de Symantec marcan la primera vez que estos dos grupos de actividades se unen.
En el ataque dirigido al proveedor de servicios de TI ruso, se dice que Jewelbug aprovechó una traducción renombrada de Microsoft Console Debugger (“cdb.exe”), que puede estar de moda para ejecutar shellcode y eludir la inventario de aplicaciones permitidas, así como para iniciar ejecutables, ejecutar archivos DLL y finalizar soluciones de seguridad.
Asimismo se ha observado que el actor de amenazas desecha credenciales, establece persistencia a través de tareas programadas e intenta ocultar rastros de su actividad borrando los registros de eventos de Windows.
Apuntar a los proveedores de servicios de TI es decisivo, ya que abre la puerta a posibles ataques a la sujeción de suministro, lo que permite a los actores de amenazas emplear el compromiso para atacar a varios clientes intermedios a la vez mediante actualizaciones de software maliciosos.
Por otra parte, Jewelbug asimismo ha sido vinculado a una intrusión en una gran estructura ministerial sudamericana en julio de 2025, desplegando una puerta trasera previamente indocumentada que se dice que está en ampliación, lo que subraya las capacidades en proceso del asociación. El malware utiliza Microsoft Graph API y OneDrive para comando y control (C2) y puede resumir información del sistema, enumerar archivos de las máquinas específicas y cargar la información en OneDrive.
El uso de Microsoft Graph API permite que el actor de amenazas se mezcle con el tráfico natural de la red y deja artefactos forenses mínimos, lo que complica el prospección posterior al incidente y prolonga el tiempo de permanencia de los actores de amenazas.
Otros objetivos incluyen un proveedor de TI con sede en el sur de Asia y una empresa taiwanesa en octubre y noviembre de 2024, y el ataque a esta última aprovechó técnicas de carga anexo de DLL para eliminar cargas bártulos maliciosas, incluido ShadowPad, una puerta trasera utilizada exclusivamente por grupos de hackers chinos.
La sujeción de infección asimismo se caracteriza por el despliegue de la útil KillAV para desactivar el software de seguridad y una útil habitable públicamente indicación EchoDrv, que permite el atropello de la vulnerabilidad de recitación/escritura del kernel en el compensador anti-trampas ECHOAC, como parte de lo que parece ser un ataque de “traiga su propio compensador relajado” (BYOVD).
Asimismo se aprovecharon LSASS y Mimikatz para deshacerse de credenciales, herramientas disponibles gratis como PrintNotifyPotato, Coerced Potato y Sweet Potato para descubrimiento y ascensión de privilegios, y una utilidad de túnel SOCKS denominada EarthWorm que ha sido utilizada por grupos de hackers chinos como Gelsemium y Lucky Mouse.
“La preferencia de Jewelbug por utilizar servicios en la estrato y otras herramientas legítimas en sus operaciones indica que permanecer fuera del radar y establecer una presencia sigilosa y persistente en las redes de las víctimas es de suma importancia para este asociación”, dijo Symantec.
La revelación se produce cuando la Oficina de Seguridad Doméstico de Taiwán advirtió sobre un aumento de los ataques cibernéticos chinos dirigidos a sus departamentos gubernamentales, y denunció al “ejército de trolls en ringlera” de Beijing por intentar difundir contenido fabricado a través de las redes sociales y socavar la confianza de la parentela en el gobierno y sembrar desconfianza en los EE.UU., informó Reuters.
