El actor de amenaza vinculado a China conocido como UNC5174 se ha atribuido a una nueva campaña que aprovecha una reforma de un malware conocido denominado Snowlight y una nueva útil de código extenso emplazamiento Vshell para infectar a los sistemas Linux.
“Los actores de amenazas están utilizando cada vez más herramientas de código extenso en sus arsenales para la rentabilidad y la ofuscación para atesorar parné y, en este caso, se combinan plausiblemente con el camarilla de adversarios no patrocinados por el estado y, a menudo, los adversarios técnicos (por ejemplo, Script Kiddies), lo que hace que la atribución sea aún más difícil”, dijo el investigador de Sysdig Alessandra Rizzo en un noticia con las noticiero de los hackers.
“Esto parece ser especialmente cierto para este actor de amenaza en particular, que ha estado bajo el radar durante el postrer año desde que está afiliado al gobierno chino”.
UNC5174, asimismo conocido como Uteus (o UETUS), fue previamente documentado por Mandiant, propiedad de Google, como fallas de seguridad de explotación en Connectwise ScreenConnect y F5 Big-IP Software para entregar un descargador de elfo basado en C llamado Snowly, que está diseñado para obtener un Túneler de Golang Dubbed Goheavy de Infrastructure Canded a un comando adecuado en manifiesto. Supershell.
Igualmente se desplegó en los ataques Goreverse, una puerta trasera de Shell Inverse de Shell adecuado públicamente escrita en Golang que funciona a través de Secure Shell (SSH).
The French National Agency for the Security of Information Systems (ANSSI), in its Cyber Threat Overview report for 2024 published last month, said it observed an attacker employing similar tradecraft as that of UNC5174 to weaponize security flaws in Ivanti Cloud Service Appliance (CSA) such as CVE-2024-8963, CVE-2024-9380, and CVE-2024-8190 to gain control y ejecutar código despótico.
“Moderadamente sofisticado y discreto, este conjunto de intrusiones se caracteriza por el uso de herramientas de intrusión en gran medida disponibles como código extenso y por el uso de un código RootKit”, ya informado públicamente, “, dijo el ANSSI.
Vale la pena señalar que tanto Snowlight como Vshell son capaces de atacar a los sistemas Apple MacOS, con este postrer distribuido como una aplicación de autenticador apócrifo de CloudFlare como parte de una sujeción de ataque aún sin detectación, según un examen de artefactos cargados a Virustotal desde China en octubre de 2024.
En la sujeción de ataque observada por Sysdig a fines de enero de 2025, el malware de la luz de cocaína actúa como un dosificador para una carga útil en memoria sin archivo emplazamiento Vshell, un troyano de golpe remoto (rata) ampliamente utilizado por los ciberdelincuentes de palabra china. El vector de golpe auténtico utilizado para el ataque se desconoce actualmente.
Específicamente, el golpe auténtico se utiliza para ejecutar un script bash bellaco (“download_backd.sh”) que despliega dos binarios asociados con la linda (DNSLOGER) y Sliver (System_Worker), que se utilizan para configurar la persistencia y establecer comunicaciones con un servidor C2.
La etapa final del ataque ofrece Vshell a través de Snowlight mediante una solicitud especialmente elaborada al servidor C2, lo que permite el control remoto y una veterano explotación posterior a la compromiso.
“(Vshell) actúa como una rata (troyano de golpe remoto), lo que permite a sus abusadores ejecutar comandos arbitrarios y descargar o cargar archivos”, dijo Rizzo. “Snowlight y Vshell representan un aventura significativo para las organizaciones correcto a sus técnicas sigilosas y sofisticadas”, dijo Sysdig. “Esto se evidencia por el empleo de WebSockets para comando y control, así como la carga útil de Vshell Filless”.
La divulgación se produce cuando TeamT5 reveló que un camarilla de piratería de China-Nexus probablemente explotó fallas de seguridad en los electrodomésticos Ivanti (CVE-2025-0282 y CVE-2025-22457) para obtener golpe auténtico e implementar el malware Spawnchimera.
Los ataques, dijo la compañía de seguridad cibernética taiwanesa, se dirigieron a una multitud de sectores que abarcan casi 20 países diferentes, como Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Los hallazgos asimismo encajan con las acusaciones de China de que la Agencia de Seguridad Doméstico de los Estados Unidos (NSA) lanzó ataques cibernéticos “avanzados” durante los Juegos de Invierno Asiáticos en febrero, señalando los dedos a tres agentes de la NSA para ataques repetidos contra la infraestructura de información crítica de China, así como contra Huawei.
“En los noveno Juegos de Invierno Asiáticos, el gobierno de los Estados Unidos realizó ataques cibernéticos sobre los sistemas de información de los Juegos y la infraestructura de información crítica en Heilongjiang”, dijo el portavoz del Empleo de Relaciones Exteriores, Lin Jian. “Este movimiento es atroz porque pone en peligro severamente la seguridad de la infraestructura de información crítica de China, la defensa doméstico, las finanzas, la sociedad y la producción, así como la información personal de sus ciudadanos”.
