Un actor de amenazas con vínculos con China ha sido atribuido a una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso, lo que marca la expansión del orden de hackers al país más allá del sudeste oriental y América del Sur.
Symantec, propiedad de Broadcom, ha atribuido la actividad, que tuvo oficio de enero a mayo de 2025, a un actor de amenazas al que rastrea como dijeque, según dijo, se superpone con grupos conocidos como CL-STA-0049 (Dispositivo 42 de Palo Suspensión Networks), Earth Alux (Trend Micro) y REF7707 (Elastic Security Labs).
Los hallazgos sugieren que Rusia no está fuera del repercusión de las operaciones de ciberespionaje chinas a pesar del aumento de las relaciones «militares, económicas y diplomáticas» entre Moscú y Beijing a lo holgado de los primaveras.
«Los atacantes tenían comunicación a repositorios de códigos y sistemas de creación de software que podrían explotar para resistir a sitio ataques a la prisión de suministro dirigidos a los clientes de la empresa en Rusia», dijo el Symantec Threat Hunter Team en un referencia compartido con The Hacker News. «Junto a destacar todavía que los atacantes estaban extrayendo datos a Yandex Cloud».
Se estima que Earth Alux está activo desde al menos el segundo trimestre de 2023, con ataques dirigidos principalmente a gobiernos, tecnología, abastecimiento, manufactura, telecomunicaciones, servicios de TI y comercio minorista en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM) para distribuir malware como VARGEIT y COBEACON (todavía conocido como Cobalt Strike Beacon).
Por otro banda, se ha observado que los ataques montados por CL-STA-0049/REF7707 distribuyen una puerta trasera avanzadilla llamamiento FINALDRAFT (todavía conocida como Squidoor) que es capaz de infectar sistemas tanto Windows como Linux. Los hallazgos de Symantec marcan la primera vez que estos dos grupos de actividades se unen.
En el ataque dirigido al proveedor de servicios de TI ruso, se dice que Jewelbug aprovechó una interpretación renombrada de Microsoft Console Debugger («cdb.exe»), que puede estar de moda para ejecutar shellcode y eludir la inventario de aplicaciones permitidas, así como para iniciar ejecutables, ejecutar archivos DLL y finalizar soluciones de seguridad.
Además se ha observado que el actor de amenazas desecha credenciales, establece persistencia a través de tareas programadas e intenta ocultar rastros de su actividad borrando los registros de eventos de Windows.
Apuntar a los proveedores de servicios de TI es táctico, ya que abre la puerta a posibles ataques a la prisión de suministro, lo que permite a los actores de amenazas explotar el compromiso para atacar a varios clientes intermedios a la vez mediante actualizaciones de software maliciosos.
Adicionalmente, Jewelbug todavía ha sido vinculado a una intrusión en una gran estructura estatal sudamericana en julio de 2025, desplegando una puerta trasera previamente indocumentada que se dice que está en progreso, lo que subraya las capacidades en progreso del orden. El malware utiliza Microsoft Graph API y OneDrive para comando y control (C2) y puede compilar información del sistema, enumerar archivos de las máquinas específicas y cargar la información en OneDrive.
El uso de Microsoft Graph API permite que el actor de amenazas se mezcle con el tráfico corriente de la red y deja artefactos forenses mínimos, lo que complica el descomposición posterior al incidente y prolonga el tiempo de permanencia de los actores de amenazas.
Otros objetivos incluyen un proveedor de TI con sede en el sur de Asia y una empresa taiwanesa en octubre y noviembre de 2024, y el ataque a esta última aprovechó técnicas de carga contiguo de DLL para eliminar cargas efectos maliciosas, incluido ShadowPad, una puerta trasera utilizada exclusivamente por grupos de hackers chinos.
La prisión de infección todavía se caracteriza por el despliegue de la útil KillAV para desactivar el software de seguridad y una útil adecuado públicamente llamamiento EchoDrv, que permite el exceso de la vulnerabilidad de recital/escritura del kernel en el compensador anti-trampas ECHOAC, como parte de lo que parece ser un ataque de «traiga su propio compensador pasivo» (BYOVD).
Además se aprovecharon LSASS y Mimikatz para deshacerse de credenciales, herramientas disponibles gratis como PrintNotifyPotato, Coerced Potato y Sweet Potato para descubrimiento y ascenso de privilegios, y una utilidad de túnel SOCKS denominada EarthWorm que ha sido utilizada por grupos de hackers chinos como Gelsemium y Lucky Mouse.
«La preferencia de Jewelbug por utilizar servicios en la aglomeración y otras herramientas legítimas en sus operaciones indica que permanecer fuera del radar y establecer una presencia sigilosa y persistente en las redes de las víctimas es de suma importancia para este orden», dijo Symantec.
La revelación se produce cuando la Oficina de Seguridad Franquista de Taiwán advirtió sobre un aumento de los ataques cibernéticos chinos dirigidos a sus departamentos gubernamentales, y denunció al «ejército de trolls en confín» de Beijing por intentar difundir contenido fabricado a través de las redes sociales y socavar la confianza de la familia en el gobierno y sembrar desconfianza en los EE.UU., informó Reuters.
