Los investigadores de ciberseguridad han arrojado luz sobre un actor de amenaza previamente indocumentado llamado NightEagle (igualmente conocido como APT-Q-95) que se ha observado dirigido a los servidores de Microsoft Exchange como parte de una esclavitud de exploites de día cero diseñada para atacar a los sectores de gobierno, defensa y tecnología en China.
Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera estampado de la Exposición y Conferencia de Seguridad Franquista de Defensa Cibernética de Malasia, celebrada entre el 1 y el 3 de julio de 2025.
“Parece tener la velocidad de un listo y ha estado operando por la incertidumbre en China”, dijo el tendero de ciberseguridad, explicando la razonamiento detrás de nombrar al adversario NightEagle.
Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de ingreso tecnología, la tecnología cuántica, la inteligencia sintético y las verticales militares con el objetivo principal de compilar inteligencia, agregó Qianxin.
La compañía igualmente señaló que comenzó una investigación a posteriori de descubrir una lectura a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada.
“El atacante modificó el código fuente de la aparejo de penetración de intranet de cincel de código despejado, codificados por los parámetros de ejecución, utilizó el nombre de agraciado y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para ganar la función de penetración Intranet”, dijo en un crónica en un crónica.
Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un observación posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener ataque no facultado al servidor de Exchange.
“El atacante utilizó la secreto para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la lectura de intercambio y leyendo de forma remota los datos del hendidura de cualquier persona”, dijo el crónica.
Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Boreal poliedro que los ataques tuvieron zona entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta.
