Múltiples sectores en China, Hong Kong y Pakistán se han convertido en el objetivo de un categoría de actividad de amenazas rastreado como UNG0002 (todavía conocido como desconocido Reunión 0002) como parte de una campaña de espionaje cibernético más amplio.
“Esta entidad de amenaza demuestra una esforzado preferencia por el uso de archivos de llegada directo (LNK), VBScript y herramientas posteriores a la explotación, como Cobalt Strike y MetaSploit, al tiempo que implementa constantemente documentos de señuelos con temática de CV para atraer a las víctimas”, dijo el investigador de Seqrite Labs Subhjeet Singha publicado en un documentación esta semana.
La actividad albarca dos campañas principales, una indicación Operation Cobalt Whisper que tuvo zona entre mayo y septiembre de 2024, y la Operación Ambermist que ocurrió entre enero y mayo de 2025.
Los objetivos de estas campañas incluyen defensa, ingeniería electrotécnica, energía, aviación civil, agrupación, instituciones médicas, ciberseguridad, juegos y sectores de progreso de software.
La Operación Cobalt Whisper fue documentada por primera vez por Seqrite Labs a fines de octubre de 2024, detallando el uso de archivos ZIP propagados a través de ataques de phishing de rejón para entregar balizas de ataque de cobalto, un situación posterior a la explotación, utilizando scripts LNK y Visual Basic como cargas intermedias.
“El zona de influencia y la complejidad de la campaña, adyacente con los señuelos personalizados, sugieren un esfuerzo objetivo de un categoría apto para comprometer la investigación sensible y la propiedad intelectual en estas industrias”, señaló la compañía en ese momento.
Se ha incompatible que los cadenas de ataque amberestas aprovechan los correos electrónicos de phishing de rejón como un punto de partida para entregar archivos LNK disfrazados de currículo vitae y se reanudan para desatar un proceso de infección en varias etapas que resulta en el despliegue de INET RAT y Blister DLL cargador.
Se ha incompatible que las secuencias de ataque alternativas detectadas en enero de 2025 redirigen a los destinatarios de correo electrónico a las páginas de destino falsas que falsifican el sitio web del Profesión de Asuntos Marítimos (MoMA) de Pakistán para servir verificaciones falsas de demostración de Captcha que emplean tácticas de ClickFix para exhalar comandos PowerShell, que se utilizan para ejecutar a Shadow Rat.
Shadow Rat, audaz a través de la carga vecino de DLL, es capaz de establecer contacto con un servidor remoto para esperar más comandos. Se evalúa que INET RAT es una lectura modificada de Shadow Rat, mientras que el implante DLL Blister funciona como un cargador de códigos de carcasa, eventualmente allanando el camino para un implante basado en la cubierta inversa.
Los orígenes exactos del actor de amenaza siguen sin estar claros, pero la evidencia apunta a que es un categoría centrado en el espionaje del sudeste oriental.
“UNG0002 representa una entidad de amenaza sofisticada y persistente del sur de Asia que ha mantenido operaciones consistentes dirigidas a múltiples jurisdicciones asiáticas desde al menos mayo de 2024”, dijo Singha. “El categoría demuestra una suscripción adaptabilidad y competencia técnica, evolucionando continuamente su conjunto de herramientas mientras mantiene tácticas, técnicas y procedimientos consistentes”.
