Se ha atribuido a un actor de amenazas vinculado a China un ciberataque dirigido a una estructura sin fines de beneficio estadounidense con el objetivo de establecer una persistencia a derrochador plazo, como parte de una actividad más amplia dirigida a entidades estadounidenses que están vinculadas o involucradas en cuestiones de política.
La estructura, según un documentación de los equipos Symantec y Carbon Black de Broadcom, está «activa en el intento de influir en la política del gobierno de Estados Unidos en cuestiones internacionales». Los atacantes lograron ingresar a la red durante varias semanas en abril de 2025.
La primera señal de actividad se produjo el 5 de abril de 2025, cuando se detectaron esfuerzos de escaneo masivo en un servidor aprovechando varios exploits conocidos, incluidos CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) y CVE-2017-17562 (GoAhead Web). Servidor).
No se registraron más acciones hasta el 16 de abril, cuando los ataques ejecutaron varios comandos curl para probar la conectividad a Internet, posteriormente de lo cual se ejecutó la útil de raya de comandos de Windows netstat para compendiar información de configuración de red. A esto le siguió la configuración de la persistencia en el host mediante una tarea programada.
La tarea fue diseñada para ejecutar un binario cierto de Microsoft «msbuild.exe» para ejecutar una carga útil desconocida, así como para crear otra tarea programada que está configurada para ejecutarse cada 60 minutos como un favorecido de SISTEMA con altos privilegios.
Esta nueva tarea, dijeron Symantec y Carbon Black, era capaz de cargar e inyectar código desconocido en «csc.exe» que finalmente establecía comunicaciones con un servidor de comando y control (C2) («38.180.83(.)166»). Luego, se observó a los atacantes ejecutando un cargador personalizado para descomprimir y ejecutar una carga útil no especificada, probablemente un troyano de llegada remoto (RAT) en la memoria.
Asimismo se observó la ejecución del componente cierto Vipre AV («vetysafe.exe») para descargar un cargador de DLL («sbamres.dll»). Asimismo se dice que este componente se utilizó para la carga adyacente de DLL en relación con Deed RAT (todavía conocido como Snappybee) en actividades anteriores atribuidas a Salt Typhoon (todavía conocido como Earth Estries) y en ataques atribuidos a Earth Longzhi, un subgrupo de APT41.
«Una copia de esta DLL maliciosa se utilizó anteriormente en ataques vinculados a los actores de amenazas con sede en China conocidos como Space Pirates», dijo Broadcom. «Una modificación de este componente, con un nombre de archivo diferente, todavía fue utilizada por el reunión chino APT Kelp (todavía conocido como Salt Typhoon) en un incidente separado».
Algunas de las otras herramientas observadas en la red objetivo incluyeron Dcsync e Imjpuexc. No está claro qué tan exitosos fueron los atacantes en sus esfuerzos. No se registró actividad adicional posteriormente del 16 de abril de 2025.
«De la actividad de esta víctima se desprende claramente que los atacantes buscaban establecer una presencia persistente y sigilosa en la red, y todavía estaban muy interesados en atacar los controladores de dominio, lo que potencialmente podría permitirles propagarse a muchas máquinas en la red», dijeron Symantec y Carbon Black.
«El intercambio de herramientas entre grupos ha sido una tendencia de larga data entre los actores de amenazas chinos, lo que hace difícil aseverar qué reunión específico está detrás de un conjunto de actividades».
La divulgación se produce cuando un investigador de seguridad que se hace apetecer BartBlaze reveló la explotación por parte de Salt Typhoon de una rotura de seguridad en WinRAR (CVE-2025-8088) para iniciar una sujeción de ataque que descarga una DLL responsable de ejecutar shellcode en el host comprometido. La carga útil final está diseñada para establecer contacto con un servidor remoto («mimosa.gleeze(.)com»).
Actividad de otros grupos de hackers chinos
Según un documentación de ESET, los grupos alineados con China han seguido activos, atacando entidades en Asia, Europa, América Latina y Estados Unidos para servir a las prioridades geopolíticas de Beijing. Algunas de las campañas notables incluyen:
- El ataque al sector energético en Asia Central por parte de un actor de amenazas con nombre en código Speccom en julio de 2025 a través de correos electrónicos de phishing para entregar una modificación de BLOODALCHEMY y puertas traseras personalizadas como kidsRAT y RustVoralix.
- El ataque a organizaciones europeas por parte de un actor de amenazas con nombre en código DigitalRecyclers en julio de 2025, utilizando una técnica de persistencia inusual que implicaba el uso de la útil de accesibilidad Magnifier para obtener privilegios del SISTEMA.
- El ataque a entidades gubernamentales en América Latina (Argentina, Ecuador, Guatemala, Honduras y Panamá) entre junio y septiembre de 2025 por parte de un actor de amenazas con nombre en código FamousSparrow que probablemente aprovechó las fallas de ProxyLogon en Microsoft Exchange Server para implementar SparrowDoor.
- El ataque a una empresa taiwanesa en el sector de la aviación de defensa, una estructura comercial estadounidense con sede en China y las oficinas con sede en China de una entidad gubernativo griega y un organismo gubernativo ecuatoriano entre mayo y septiembre de 2025 por parte de un actor de amenazas con nombre en código SinisterEye (todavía conocido como LuoYu y Cascade Panda) para entregar malware como WinDealer (para Windows) y SpyDealer (para Android) utilizando ataques de adversario en el medio (AitM) para secuestrar mecanismos legítimos de modernización de software.
- El ataque a una empresa japonesa y a una empresa multinacional, ambas en Camboya, en junio de 2025 por parte de un actor de amenazas con nombre en código PlushDaemon mediante el envenenamiento de AitM para entregar SlowStepper.
«PlushDaemon logra el posicionamiento AitM comprometiendo dispositivos de red como enrutadores e implementando una útil que hemos llamado EdgeStepper, que redirige el tráfico DNS desde la red objetivo a un servidor DNS remoto controlado por el atacante», dijo ESET.
«Este servidor replica a consultas de dominios asociados con la infraestructura de modernización de software con la dirección IP del servidor web que realiza el secuestro de actualizaciones y, en última instancia, sirve a la puerta trasera insignia de PlushDaemon, SlowStepper».
Grupos de hackers chinos atacan servidores IIS mal configurados
En los últimos meses, los cazadores de amenazas todavía han detectado a un actor de amenazas de palabra china que apunta a servidores IIS mal configurados utilizando claves de máquina expuestas públicamente para instalar una puerta trasera señal TOLLBOOTH (todavía conocida como HijackServer) que viene con encubrimiento SEO y capacidades de shell web.
«REF3927 abusa de claves de máquina ASP.NET divulgadas públicamente para comprometer servidores IIS e implementar módulos de encubrimiento SEO TOLLBOOTH a nivel mundial», dijeron investigadores de Elastic Security Labs en un documentación publicado a fines del mes pasado. Según HarfangLab, la operación ha infectado cientos de servidores en todo el mundo, con infecciones concentradas en India y EE. UU.
Los ataques todavía se caracterizan por intentos de convertir el llegada original en un armamento para eliminar el shell web de Godzilla, ejecutar la útil de llegada remoto GotoHTTP, usar Mimikatz para recoger credenciales e implementar HIDDENDRIVER, una interpretación modificada del rootkit de código franco Hidden, para ocultar la presencia de cargas aperos maliciosas en la máquina infectada.
Vale la pena señalar que el clúster es la última incorporación a una larga directorio de actores de amenazas chinos, como GhostRedirector, Operation Rewrite y UAT-8099, que se han dirigido a servidores IIS, lo que indica un aumento en dicha actividad.
«Si acertadamente los operadores maliciosos parecen estar usando el chino como idioma principal y aprovechando los compromisos para respaldar la optimización de motores de búsqueda (SEO), notamos que el módulo implementado ofrece un canal persistente y no autenticado que permite a cualquier parte ejecutar comandos de forma remota en los servidores afectados», dijo la compañía francesa de ciberseguridad.
