La comunidad tibetana ha sido atacada por un reunión de ciber espionaje de China-Nexus como parte de dos campañas realizadas el mes pasado antiguamente del 90 cumpleaños del Dalai Lodo el 6 de julio de 2025.
Los ataques de múltiples etapas han sido nombrados en código Operación Ghostchat y Operación Phantomprayers por Zscaler amenaza.
“Los atacantes comprometieron un sitio web razonable, redirigiendo a los usuarios a través de un enlace taimado y, en última instancia, instalando la puerta trasera de la rata GH0st o Phantomnet (además conocida como Smanager) en los sistemas de víctimas”, dijeron los investigadores de seguridad Sudeep Singh y Roy Tay en un mensaje del miércoles.
Esta no es la primera vez que los actores de amenaza china han recurrido a los ataques de agujeros de riego (además conocido como compromisos web estratégicos), una técnica en la que los adversarios entran en sitios web con frecuencia visitados por un reunión específico para infectar sus dispositivos con malware.
En los últimos dos abriles, los grupos de piratería como Evilbamboo, Evasive Panda y TAG-112 han recurrido al enfoque para apuntar a la diáspora tibetana con el objetivo final de compendiar información confidencial.
 |
| Operación Ghostchat |
El postrer conjunto de ataques observados por ZSCaler implica el compromiso de una página web para reemplazar el enlace que apunta a “Tibetfund (.) Org/90th Birthday” con una lectura fraudulenta (“thedalailama90.niccenter (.) Net”).
Si correctamente la página web flamante está diseñada para destinar un mensaje al Dalai Lodo, la página de réplica agrega una opción para destinar un mensaje encriptado al líder espiritual descargando desde “tbelement.niccenter (.) Net” Una aplicación de chat segura llamamiento Telement, que afirma ser una lectura tibetana de Element.
Alojado en el sitio web hay una lectura trasera del software de chat encriptado de código amplio que contiene una DLL maliciosa que está resbalada para propalar GH0ST RAT, un troyano de paso remoto ampliamente utilizado por varios grupos de piratería chinos. La página web además incluye el código JavaScript diseñado para compendiar la dirección IP del visitante y la información de agente de legatario, y exfiltrar los detalles al actor de amenaza a través de una solicitud de publicación HTTP.
 |
| Operación Phantomprayers |
GH0ST RAT es un malware totalmente realizado que admite la manipulación de archivos, la captura de pantalla, la ascendencia de contenido del portapapeles, la cinta de video de la cámara web, el keylogging, la cinta de audio y la reproducción, la manipulación de procesos y el shell remoto.
The second campaign, Operation PhantomPrayers, has been found to leverage another domain, “hhthedalailama90.niccenter(.)net,” to distribute a phony “90th Birthday Completo Check-in” app (“DalaiLamaCheckin.exe,” dubbed PhantomPrayers) that, when opened, displays an interactive map and urges victims to “send your blessings” for the Dalai Lodo by tapping su ubicación en el carta.
Sin incautación, la funcionalidad maliciosa se activa sigilosamente en segundo plano, utilizando técnicas de carga limítrofe de DLL para iniciar PhantomNet, una puerta trasera que establece el contacto con un servidor de comando y control (C2) a través de TCP para cobrar DLL de complementos adicionales para la ejecución en la máquina comprometida.
“Phantomnet se puede configurar para intervenir solo durante horas o días específicos, pero esta capacidad no está habilitada en la muestra presente”, dijeron los investigadores. “Phantomnet utilizó DLL de complementos modulares, tráfico C2 oculto de AES y operaciones cronometradas configurables, para regir sigilosamente sistemas comprometidos”.
