Los investigadores de ciberseguridad están llamando la atención sobre la actividad maliciosa orquestada por un colección de espionaje cibernético de China-Nexus conocido como Panda turbia Eso implica violar de las relaciones confiables en la abundancia para violar las redes empresariales.
«El adversario asimismo ha mostrado una capacidad considerable para armarse rápidamente las vulnerabilidades de N-Día y cero y con frecuencia logra el entrada original a sus objetivos al explotar los electrodomésticos orientados a Internet», dijo Crowdstrike en un noticia del jueves.
Murky Panda, asimismo conocido como Typhoon de Silk (anteriormente Hafnium), es mejor conocido por su explotación de día cero de fallas de Microsoft Exchange Server en 2021. Los ataques montados por el colección de piratería han dirigido al gobierno, tecnología, académica, justo y entidades de servicios profesionales en América del Boreal.
A principios de marzo, Microsoft detalló el cambio de tácticas del actor de amenaza, detallando su objetivo de la dependencia de suministro de la tecnología de la información (TI) como un medio para obtener entrada original a las redes corporativas. Se evalúa que las operaciones turbias de Panda están impulsadas por la colección de inteligencia.
Al igual que otros grupos de piratería chinos, Murky Panda ha explotado los electrodomésticos de Internet para obtener el entrada original y se cree que asimismo ha comprometido los dispositivos de una pequeña oficina/oficina doméstica (SOHO) que se geolocan en el país objetivo como un nodo de salida para obstaculizar los esfuerzos de detección.
Otras vías de infección incluyen la explotación de fallas de seguridad conocidas en Citrix Netscaler ADC y NetScaler Gateway (CVE-2023-3519) y Commvault (CVE-2025-3928). El entrada original se aprovecha para implementar proyectiles web como Neo-Regegeorg para establecer la persistencia y, en última instancia, soltar un malware personalizado llamado Cloudedhope.
Un binario ELF de 64 bits y escrito en Golang, Cloudedhope funciona como una utensilio básica de entrada remoto (RAT) mientras emplea medidas antianálisis y seguridad operativa (OPSEC), como modificar las marcas de tiempo y la exterminio de indicadores de su presencia en entornos de víctimas para evaporarse bajo el radar.
Pero un aspecto extraordinario de la artesanía de Murky Panda se refiere al atropello de las relaciones confiables entre las organizaciones asociadas y sus inquilinos en la abundancia, explotando vulnerabilidades de día cero para violar los entornos de la abundancia de los proveedores de software como servicio (SaaS) y admitir a extremo un movimiento pegado a víctimas posteriores.
En al menos un caso observado a fines de 2024, se dice que el actor de amenazas comprometió a un proveedor de una entidad norteamericana y utilizó el entrada oficial del proveedor al inquilino Entra Id de la entidad de la víctima para asociar una cuenta temporal de entrada trasera.
«Usando esta cuenta, el actor de amenazas luego fue trasero varios principios de servicio de ID de ID preexistentes relacionados con la papeleo y los correos electrónicos de Active Directory», dijo CrowdStrike. «Los objetivos del adversario parecen atacados en la naturaleza en función de su enfoque en aceptar a los correos electrónicos».
De turbio a comienzo
Otro actor de amenaza vinculado a China que ha demostrado ser hábil para manipular los servicios en la abundancia es Origen pandaque se ha observado utilizando la infraestructura para la exfiltración básica y las cuentas de proveedor de servicios de nubes (CSP) para expandir el entrada y establecer mecanismos persistentes de alojamiento.
Activo desde al menos en enero de 2024, Genesis Panda se ha atribuido a operaciones de stop bombeo dirigidas a los sectores de servicios financieros, medios, telecomunicaciones y tecnología que abarcan 11 países. El objetivo de los ataques es permitir el entrada para futuras actividades de casa recoleta de inteligencia.
La posibilidad de que actúe como un corredor de entrada original se deriva de la explotación del colección de una amplia serie de vulnerabilidades relacionadas con la web y exfiltración de datos limitados.
«Aunque Genesis Panda se dirige a una variedad de sistemas, muestran un interés constante en comprometer los sistemas alojados en la abundancia para usar el plano de control de la abundancia para el movimiento pegado, la persistencia y la enumeración», dijo CrowdStrike.
El adversario ha observado consultar «consistentemente» el servicio de metadatos de instancia (IMD) asociado con un servidor alojado en la abundancia para obtener credenciales para el plano de control de la abundancia y enumerar la red y las configuraciones generales de instancias. Además se sabe que usa credenciales, probablemente obtenidas de máquinas virtuales comprometidas (VM), para excavar más profundamente en la cuenta de la abundancia del objetivo.
Los hallazgos ilustran cómo los grupos de piratería chinos se están volviendo cada vez más expertos en romper y navegar en entornos de nubes, al tiempo que priorizan el sigilo y la persistencia para certificar el entrada sostenido y la casa recoleta de datos encubiertos.
Panda de panda frío Sector de telecomunicaciones
El sector de telecomunicaciones, según CrowdStrike, ha sido declarante de un aumento del 130% en la actividad del estado-nación durante el año pasado, principalmente impulsado por el hecho de que son un fisco de inteligencia. El zaguero actor de amenaza para capacitar sus vistas en la industria derecho es un actor de amenaza china denominado Panda frío.
La huella geográfica del colección de piratería alpargata Afganistán, Hong Kong, India, Japón, Kenia, Malasia, México, Panamá, Filipinas, Taiwán, Tailandia y Estados Unidos.
«El panda frío es muy probable que realice intrusiones específicas para fines de casa recoleta de inteligencia, accediendo y exfiltrando registros de detalles de llamadas y telemetría de comunicaciones relacionadas de múltiples organizaciones de telecomunicaciones», dijo la compañía de seguridad cibernética.
«El adversario se dirige principalmente a los sistemas Linux típicos en la industria de las telecomunicaciones, incluidas las distribuciones de sistemas operativos heredados que admiten tecnologías de telecomunicaciones más antiguas».
Los candidatos a ataque implementados por el actor de amenazas utilizan vulnerabilidades de seguridad conocidas o contraseñas débiles dirigidas a servidores orientados a Internet y no administrados, con actividades de seguimiento que aprovechan los errores de subida de privilegios como CVE-2016-5195 (asimismo conocido como ternera sucia) y CVE-2021-4034 (aka PWNKIT).
Adicionalmente de abandonarse en las técnicas de vida de la tierra (LOTL), las intrusiones del panda frío allanan el camino para el despliegue de componentes de OpenSsh Troyanizados, colectivamente con nombre en código SHIELDSLIDE, para reunir sesiones y credenciales de autenticación de usuarios.
«El SSH Binary del servidor SSH-Trojanizado de SSH asimismo proporciona entrada a puerta trasera, autenticando cualquier cuenta (incluida la raíz) cuando se ingresa una contraseña codificada», dijo CrowdStrike.
