Los investigadores de ciberseguridad han arrojado luz sobre un actor de amenaza previamente indocumentado llamado NightEagle (asimismo conocido como APT-Q-95) que se ha observado dirigido a los servidores de Microsoft Exchange como parte de una condena de exploites de día cero diseñada para atacar a los sectores de gobierno, defensa y tecnología en China.
Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera tirada de la Exposición y Conferencia de Seguridad Franquista de Defensa Cibernética de Malasia, celebrada entre el 1 y el 3 de julio de 2025.
«Parece tener la velocidad de un perpicaz y ha estado operando por la incertidumbre en China», dijo el tendero de ciberseguridad, explicando la deducción detrás de nombrar al adversario NightEagle.
Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de entrada tecnología, la tecnología cuántica, la inteligencia sintético y las verticales militares con el objetivo principal de resumir inteligencia, agregó Qianxin.
La compañía asimismo señaló que comenzó una investigación luego de descubrir una interpretación a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada.
«El atacante modificó el código fuente de la aparejo de penetración de intranet de cincel de código hendido, codificados por los parámetros de ejecución, utilizó el nombre de afortunado y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para ganar la función de penetración Intranet», dijo en un noticia en un noticia.
Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un observación posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener llegada no acreditado al servidor de Exchange.
«El atacante utilizó la esencia para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la interpretación de intercambio y leyendo de forma remota los datos del casilla de cualquier persona», dijo el noticia.
Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Meta regalado que los ataques tuvieron sitio entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta.
