Un actor de amenazas formado con China con nombre en código papá0388 se ha atribuido a una serie de campañas de phishing dirigidas a América del Finalidad, Asia y Europa que están diseñadas para entregar un implante basado en Go conocido como GOBIERNO.
“Las campañas inicialmente observadas se adaptaron a los objetivos, y los mensajes supuestamente fueron enviados por investigadores y analistas de detención nivel de organizaciones que parecían legítimas y completamente fabricadas”, dijo Volexity en un referencia del miércoles. “El objetivo de estas campañas de phishing era diseñar socialmente objetivos para que hicieran clic en enlaces que conducían a un archivo alojado remotamente que contenía una carga útil maliciosa”.
Desde entonces, se dice que el actor de amenazas detrás de los ataques ha explotado diferentes señuelos e identidades ficticias, que abarcan varios idiomas, incluidos inglés, chino, japonés, francés y germano.
Se ha descubierto que las primeras iteraciones de las campañas incorporan enlaces a contenido de phishing, ya sea alojado en un servicio basado en la nimbo o en su propia infraestructura, en algunos casos, lo que condujo a la implementación de malware. Sin incautación, las oleadas de seguimiento se han descrito como “en gran medida adaptadas”, en las que los actores de la amenaza recurren a difundir confianza con los destinatarios a lo prolongado del tiempo ayer de remitir el enlace, una técnica indicación phishing para establecer relaciones.
Independientemente del enfoque utilizado, los enlaces conducen a un archivo ZIP o RAR que incluye una carga útil DLL maliciosa que se inicia mediante la carga colateral de DLL. La carga útil es una puerta trasera desarrollada activamente indicación GOVERSHELL. Vale la pena señalar que la actividad se superpone con un clúster rastreado por Proofpoint bajo el nombre UNK_DropPitch, y Volexity caracteriza a GOVERSHELL como un sucesor de una comunidad de malware C++ denominada SaludKick.
Hasta la momento se han identificado hasta cinco variantes distintas de GOVERSHELL:
- SaludKick (Observado por primera vez en abril de 2025), que está equipado para ejecutar comandos usando cmd.exe
- TE32 (Observado por primera vez en junio de 2025), que está equipado para ejecutar comandos directamente a través de un shell inverso de PowerShell.
- TE64 (Observado por primera vez a principios de julio de 2025), que está equipado para ejecutar comandos nativos y dinámicos usando PowerShell para obtener información del sistema, la hora contemporáneo del sistema, ejecutar comandos a través de powershell.exe y sondear un servidor forastero para obtener nuevas instrucciones.
- WebSocket (Observado por primera vez a mediados de julio de 2025), que está equipado para ejecutar un comando de PowerShell a través de powershell.exe y un subcomando de “aggiornamento” no implementado como parte del comando del sistema.
- Faro (observado por primera vez en septiembre de 2025), que está equipado para ejecutar comandos nativos y dinámicos usando PowerShell para establecer un intervalo de tienta almohadilla, aleatorizarlo o ejecutar un comando de PowerShell a través de powershell.exe
Algunos de los servicios legítimos de los que se abusa para acumular archivos incluyen Netlify, Sync y OneDrive, mientras que los mensajes de correo electrónico se han identificado como enviados desde Proton Mail, Microsoft Outlook y Gmail.
Un aspecto digno de mención del oficio de UTA0388 es el uso de OpenAI ChatGPT para difundir contenido para campañas de phishing en inglés, chino y japonés; ayudar con flujos de trabajo maliciosos; y despabilarse información relacionada con la instalación de herramientas de código destapado como nuclei y fscan, como reveló la empresa de inteligencia sintético a principios de esta semana. Desde entonces, las cuentas ChatGPT utilizadas por el actor de amenazas han sido prohibidas.
El uso de un maniquí de estilo ínclito (LLM) para aumentar sus operaciones se evidencia en las mentiras que prevalecen en los correos electrónicos de phishing, que van desde las personas utilizadas para remitir el mensaje hasta la desidia caudillo de coherencia en el contenido del mensaje en sí, dijo Volexity.
“El perfil de objetivo de la campaña es consistente con un actor de amenazas interesado en cuestiones geopolíticas asiáticas, con un enfoque particular en Taiwán”, añadió la compañía. “Los correos electrónicos y archivos utilizados en esta campaña llevan a Volexity a evaluar con confianza media que UTA0388 hizo uso de automatización, LLM o de otro tipo, que generó y envió este contenido a objetivos con poca o ninguna supervisión humana en algunos casos”.
La revelación se produce cuando StrikeReady Labs dijo que una supuesta campaña de ciberespionaje vinculada a China se ha dirigido a un área del gobierno serbio relacionado con la aviación, así como a otras instituciones europeas en Hungría, Bélgica, Italia y los Países Bajos.
La campaña, observada a finales de septiembre, implica el pedido de correos electrónicos de phishing que contienen un enlace que, al hacer clic, dirige a la víctima a una página de comprobación CAPTCHA de Cloudflare falsa que conduce a la descarga de un archivo ZIP, en el interior del cual existe un archivo de ataque directo de Windows (LNK) que ejecuta PowerShell responsable de inaugurar un documento señuelo e iniciar sigilosamente PlugX mediante la carga colateral de DLL.
