Múltiples sectores en China, Hong Kong y Pakistán se han convertido en el objetivo de un género de actividad de amenazas rastreado como UNG0002 (todavía conocido como desconocido Conjunto 0002) como parte de una campaña de espionaje cibernético más amplio.
«Esta entidad de amenaza demuestra una esforzado preferencia por el uso de archivos de acercamiento directo (LNK), VBScript y herramientas posteriores a la explotación, como Cobalt Strike y MetaSploit, al tiempo que implementa constantemente documentos de señuelos con temática de CV para atraer a las víctimas», dijo el investigador de Seqrite Labs Subhjeet Singha publicado en un documentación esta semana.
La actividad zapatilla dos campañas principales, una indicación Operation Cobalt Whisper que tuvo emplazamiento entre mayo y septiembre de 2024, y la Operación Ambermist que ocurrió entre enero y mayo de 2025.
Los objetivos de estas campañas incluyen defensa, ingeniería electrotécnica, energía, aviación civil, entidad, instituciones médicas, ciberseguridad, juegos y sectores de explicación de software.
La Operación Cobalt Whisper fue documentada por primera vez por Seqrite Labs a fines de octubre de 2024, detallando el uso de archivos ZIP propagados a través de ataques de phishing de vara para entregar balizas de ataque de cobalto, un ámbito posterior a la explotación, utilizando scripts LNK y Visual Basic como cargas intermedias.
«El repercusión y la complejidad de la campaña, conexo con los señuelos personalizados, sugieren un esfuerzo objetivo de un género apto para comprometer la investigación sensible y la propiedad intelectual en estas industrias», señaló la compañía en ese momento.
Se ha antagónico que los cadenas de ataque amberestas aprovechan los correos electrónicos de phishing de vara como un punto de partida para entregar archivos LNK disfrazados de currículo vitae y se reanudan para desatar un proceso de infección en varias etapas que resulta en el despliegue de INET RAT y Blister DLL cargador.
Se ha antagónico que las secuencias de ataque alternativas detectadas en enero de 2025 redirigen a los destinatarios de correo electrónico a las páginas de destino falsas que falsifican el sitio web del Ocupación de Asuntos Marítimos (MoMA) de Pakistán para servir verificaciones falsas de demostración de Captcha que emplean tácticas de ClickFix para propalar comandos PowerShell, que se utilizan para ejecutar a Shadow Rat.
Shadow Rat, osado a través de la carga pegado de DLL, es capaz de establecer contacto con un servidor remoto para esperar más comandos. Se evalúa que INET RAT es una lectura modificada de Shadow Rat, mientras que el implante DLL Blister funciona como un cargador de códigos de carcasa, eventualmente allanando el camino para un implante basado en la cubierta inversa.
Los orígenes exactos del actor de amenaza siguen sin estar claros, pero la evidencia apunta a que es un género centrado en el espionaje del sudeste oriental.
«UNG0002 representa una entidad de amenaza sofisticada y persistente del sur de Asia que ha mantenido operaciones consistentes dirigidas a múltiples jurisdicciones asiáticas desde al menos mayo de 2024», dijo Singha. «El género demuestra una adhesión adaptabilidad y competencia técnica, evolucionando continuamente su conjunto de herramientas mientras mantiene tácticas, técnicas y procedimientos consistentes».
