Se ha atribuido a un actor de amenazas vinculado a China una intrusión de cinco meses dirigida contra un proveedor de servicios de TI ruso, lo que marcó la expansión del grupo de hackers al país más allá del sudeste asiático y Sudamérica.
Symantec, propiedad de Broadcom, atribuyó la actividad, que tuvo lugar de enero a mayo de 2025, a un actor de amenazas al que rastrea como Jewelbug , que según dijo se superpone con grupos conocidos como CL-STA-0049 (Unidad 42 de Palo Alto Networks), Tierra Alux (Trend Micro) y REF7707 (Laboratorios de seguridad de Elastic).
Los hallazgos sugieren que Rusia no está prohibida para las operaciones de ciberespionaje chinas, a pesar de aumentó «militar, económico y diplomático» relaciones entre Moscú y Beijing a lo largo de los años.
«Los atacantes tenían acceso a repositorios de código y sistemas de creación de software que podían aprovechar para llevar a cabo ataques a la cadena de suministro dirigidos a los clientes de la empresa en Rusia», dijo el equipo de Symantec Threat Hunter dijo en un informe compartido con The Hacker News. «También cabe destacar que los atacantes estaban extrayendo datos a Yandex Cloud».
Se estima que Earth Alux está activo desde al menos el segundo trimestre de 2023, con ataques dirigidos principalmente al gobierno, la tecnología, la logística, la fabricación, las telecomunicaciones, los servicios de TI y el comercio minorista en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM) para lanzar malware como VARGEIT y COBEACON (también conocido como Cobalt Strike Beacon).
Los ataques organizados por CL-STA-0049/REF7707, por otro lado, se han observado distribuyendo un backdoor avanzado llamado FINALDRAFT (también conocido como Squidoor) que es capaz de infectar sistemas Windows y Linux. Los hallazgos de Symantec marcan la primera vez que se unen estos dos clústeres de actividades.
En el ataque dirigido contra el proveedor de servicios de TI ruso, se dice que Jewelbug aprovechó una versión renombrada de Microsoft Console Debugger (» cdb.exe «), que se puede usar para ejecutar código shell y eludir las listas de aplicaciones permitidas, así como para ejecutar ejecutables, ejecutar archivos DLL y cerrar soluciones de seguridad.
También se ha observado que el actor de la amenaza descarta las credenciales, establece la persistencia mediante tareas programadas e intenta ocultar los rastros de su actividad borrando los registros de eventos de Windows.
Atacar a los proveedores de servicios de TI es estratégico, ya que abre la puerta a posibles ataques a la cadena de suministro, lo que permite a los actores de amenazas aprovechar el compromiso para atacar a varios clientes intermedios a la vez mediante actualizaciones de software malintencionadas.
Además, Jewelbug también ha sido vinculado a una intrusión en una gran organización gubernamental sudamericana en julio de 2025, que desplegó una puerta trasera previamente indocumentada que, según se dice, está en desarrollo, lo que subraya la evolución de las capacidades del grupo. El malware utiliza la API Graph de Microsoft y OneDrive para el comando y el control (C2) y puede recopilar información del sistema, enumerar los archivos de las máquinas objetivo y cargar la información en OneDrive.
El uso de la API Graph de Microsoft permite que el actor de la amenaza se mezcle con el tráfico normal de la red y deja un mínimo de artefactos forenses, lo que complica el análisis posterior al incidente y prolonga el tiempo de permanencia de los actores de amenazas.
Otros objetivos son un proveedor de TI con sede en el sur de Asia y una empresa taiwanesa en octubre y noviembre de 2024, y el ataque a esta última aprovechó las técnicas de carga lateral de archivos DLL para lanzar cargas maliciosas, como ShadowPad, una puerta trasera utilizada exclusivamente por grupos de hackers chinos.
La cadena de infección también se caracteriza por el despliegue de la herramienta KilLaV para deshabilitar el software de seguridad y de una herramienta disponible públicamente llamada EchoDrv, que permite abusar de la vulnerabilidad de lectura/escritura del núcleo en el controlador antitrampas ECHOAC, como parte de lo que parece ser un ataque Bring Your Own Vulnerable Driver (BYOVD).
También se utilizaron LSASS y Mimikatz para eliminar credenciales, herramientas disponibles de forma gratuita como PrintNotifyPotato, Coerced Potato y Sweet Potato para el descubrimiento y la escalada de privilegios, y una utilidad de construcción de túneles SOCKS denominada Lombriz que han utilizado grupos de hackers chinos como Gelsemium y Lucky Mouse.
«La preferencia de Jewelbug por utilizar servicios en la nube y otras herramientas legítimas en sus operaciones indica que permanecer fuera del radar y establecer una presencia sigilosa y persistente en las redes de las víctimas es de suma importancia para este grupo», afirma Symantec.
La revelación se produce cuando la Oficina de Seguridad Nacional de Taiwán prevenido sobre el aumento de los ciberataques chinos contra sus departamentos gubernamentales, y denunció al «ejército de trolls en línea» de Beijing por intentar difundir contenido inventado en las redes sociales, socavar la confianza de la gente en el gobierno y sembrar la desconfianza en los Estados Unidos, informó Reuters.