La actividad de examen dirigida a la compañía estadounidense de ciberseguridad Sentinelone fue parte de un conjunto más amplio de intrusiones parcialmente relacionadas en varios objetivos entre julio de 2024 y marzo de 2025.
“La victimología incluye una entidad del gobierno del sur de Asia, una ordenamiento de medios europea y más de 70 organizaciones en una amplia serie de sectores”, dijeron los investigadores de seguridad de Sentinelone Aleksandar Milenkoski y Tom Hegel en un noticia publicado hoy.
Algunos de los sectores objetivo incluyen fabricación, gobierno, finanzas, telecomunicaciones e investigación. Además estaba presente entre las víctimas una empresa de servicios de TI y abastecimiento que administraba la abastecimiento de hardware para los empleados de Sentinelone en el momento de la violación a principios de 2025.
La actividad maliciosa se ha atribuido con una inscripción confianza a los actores de amenaza de China-Nexus, con algunos de los ataques vinculados a un categoría de amenazas denominado Moradoque, a su vez, se superpone a los grupos chinos de espionaje cibernético informado públicamente como APT15 y UNC5174.
A fines de abril de 2024, Sentinelone reveló por primera vez la actividad de examen relacionada con Purplehaze dirigida a algunos de sus servidores a los que fueron accesibles deliberadamente a través de Internet por “virtud de su funcionalidad”.
“Las actividades de la amenaza del actor se limitaron a la mapeo y la evaluación de la disponibilidad de servidores seleccionados orientados a Internet, probablemente en preparación para posibles acciones futuras”, dijeron los investigadores.
Actualmente no se sabe si la intención de los atacantes era apuntar a la ordenamiento de abastecimiento de TI o si planearon expandir su enfoque a las organizaciones posteriores asimismo. Una maduro investigación sobre los ataques ha descubierto seis grupos de actividades diferentes (nombrados a A a F) que datan de junio de 2024 con el compromiso de una entidad oficial del sur de Asia sin nombre.
Los grupos se enumeran a continuación –
- Actividad A: Una intrusión en una entidad del gobierno del sur de Asia (junio de 2024)
- Actividad B: Un conjunto de intrusiones dirigidas a organizaciones a nivel mundial (entre julio de 2024 y marzo de 2025)
- Actividad C: Una intrusión en una empresa de servicios de TI y abastecimiento (a principios de 2025)
- Actividad D: Una intrusión en la misma entidad oficial del sur de Asia comprometida (octubre de 2024)
- Actividad E: Actividad de examen dirigida a servidores Sentinelone (octubre de 2024)
- Actividad F: Una intrusión en una ordenamiento de medios europea líder (a fines de septiembre de 2024)
Se dice que el ataque de junio de 2024 contra la entidad oficial, como se detalló anteriormente Sentinelone, ha llevado al despliegue de ShadowPad que se ofuse usando ScatterBrain. Los artefactos y la infraestructura de Shadowpad se superponen con las recientes campañas de ShadowPad que han entregado un Ransomware Family con nombre en código Niilaolocker a posteriori de la explotación de los dispositivos de Gateway de Point Check Point.
Seguidamente, en octubre de 2024, la misma ordenamiento estaba dirigida a soltar una carcasa inversa basada en GO, denominado Goreshell que usa SSH para conectarse a un host infectado. La misma puerta trasera, señaló Sentinelone, se ha utilizado en relación con un ataque de septiembre de 2024 dirigido a una ordenamiento de medios europea líder.
Además es popular a estos dos grupos de actividades es el uso de herramientas desarrolladas por un equipo de expertos en seguridad de TI que se llaman la referéndum del hacker (THC). El progreso marca la primera vez que los programas de software de THC han sido abusados por actores patrocinados por el estado.
Sentinelone ha atribuido la actividad F a un actor de China-Nexus con afiliaciones sueltas a un “corredor de camino auténtico” rastreado por Google Mandiant bajo el nombre UNC5174 (asimismo conocido como Uteus o Uetus). Vale la pena señalar que el categoría de amenazas se vinculó recientemente con la explotación activa de los defectos de SAP Netweaver para entregar Goreverse, una modificación de Goreshell. La compañía de ciberseguridad está rastreando colectivamente la actividad D, E y F como Purplehaze.
“El actor de amenazas aprovechó la infraestructura de la red de Orb (caja de retransmisión operativa), que evaluamos que se operará desde China, y explotó la vulnerabilidad CVE-2024-8963 unido con CVE-2024-8190 para establecer un punto de apoyo auténtico, unos pocos días antaño de que las vulnerabilidades se describieran públicamente”, dijeron los investigadores. “Luego de comprometer estos sistemas, se sospecha que UNC5174 transfiere el camino a otros actores de amenaza”.
