Se ha atribuido a un actor de amenazas vinculado a China un ciberataque dirigido contra una organización sin fines de lucro estadounidense con el objetivo de establecer una persistencia a largo plazo, como parte de una actividad más amplia dirigida a entidades estadounidenses que están vinculadas o involucradas en cuestiones políticas.

La organización, según un informe de los equipos Symantec y Carbon Black de Broadcom, «intenta activamente influir en la política del gobierno de los Estados Unidos en cuestiones internacionales». Los atacantes lograron acceder a la red durante varias semanas en abril de 2025.

La primera señal de actividad se produjo el 5 de abril de 2025, cuando se detectaron esfuerzos de escaneo masivo en un servidor aprovechando varios exploits conocidos, entre ellos CVE-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) y CVE-2017-17562 (Servidor web GoAhead).

No se registraron más acciones hasta el 16 de abril, cuando los ataques ejecutaron varios comandos curl para probar la conectividad a Internet, tras lo cual se ejecutó la herramienta de línea de comandos de Windows netstat para recopilar información sobre la configuración de la red. A continuación, se configuró la persistencia en el host mediante una tarea programada.

La tarea se diseñó para ejecutar un archivo binario legítimo de Microsoft "msbuild.exe" para ejecutar una carga útil desconocida, así como para crear otra tarea programada que esté configurada para ejecutarse cada 60 minutos como usuario de SYSTEM con altos privilegios.

Según Symantec y Carbon Black, esta nueva tarea era capaz de cargar e inyectar código desconocido en "csc.exe" que, en última instancia, establecía las comunicaciones con un servidor de comando y control (C2) («38.180.83 [.] 166"). Posteriormente, se observó que los atacantes ejecutaban un cargador personalizado para desempaquetar y ejecutar una carga no especificada, probablemente un troyano de acceso remoto (RAT) en memoria.

También se observó la ejecución del componente Vipre AV legítimo (» vetysafe.exe «) para cargar de forma lateral un cargador de DLL (» sbamres.dll «). También se dice que este componente se usó para cargar archivos DLL de forma paralela en relación con Escritura RAT (también conocido como Snappybee ) en actividades anteriores atribuidas a Salt Typhoon (también conocido como Earth Estries) y en ataques atribuidos a Tierra Longzhi , un subgrupo de APARTAMENTO 41 .

«Anteriormente, se utilizó una copia de esta DLL maliciosa en ataques relacionados con los actores de amenazas con sede en China conocidos como Piratas espaciales », dijo Broadcom. «El grupo chino de APT Kelp (también conocido como Salt Typhoon) también utilizó una variante de este componente, con un nombre de archivo diferente, en otro incidente».

Algunas de las otras herramientas observadas en la red objetivo incluyen Dcsync e Imjpuexc. No está claro el éxito de los atacantes en sus esfuerzos. No se registró ninguna actividad adicional después del 16 de abril de 2025.

«De la actividad de esta víctima se desprende claramente que los atacantes pretendían establecer una presencia persistente y sigilosa en la red, y también estaban muy interesados en atacar los controladores de dominio, lo que podría permitirles extenderse a muchas máquinas de la red», afirman Symantec y Carbon Black.

«El intercambio de herramientas entre grupos ha sido una tendencia de larga data entre los actores de amenazas chinos, lo que dificulta decir qué grupo específico está detrás de un conjunto de actividades».

La revelación se produce como un investigador de seguridad que usa el apodo en línea BartBlaze. divulgado La explotación por parte de Salt Typhoon de una falla de seguridad en WinRAR (CVE-2025-8088) para iniciar una cadena de ataques que carga de forma lateral una DLL responsable de ejecutar shellcode en el host comprometido. La carga útil final está diseñada para establecer contacto con un servidor remoto («mimosa.gleeze [.] com»).

Actividad de otros grupos de hackers chinos

Según un informe de ESET, los grupos alineados con China tienen continuo permanecer activos y atacar a las entidades de Asia, Europa, América Latina y los EE. UU. para que sirvan a las prioridades geopolíticas de Beijing. Algunas de las campañas más destacadas incluyen -

  • En julio de 2025, un actor de amenazas con el nombre en código Speccom atacó el sector energético de Asia Central mediante correos electrónicos de suplantación de identidad para enviar una variante de ALQUIMIA SANGUÍNEA y puertas traseras personalizadas como KidsRat y RustVoralix.
  • El ataque a organizaciones europeas por parte de un actor de amenazas con nombre en código Recicladores digitales en julio de 2025, utilizando una técnica de persistencia inusual que implicaba el uso del Herramienta de accesibilidad de la lupa para obtener los privilegios del SISTEMA.
  • Los ataques contra entidades gubernamentales de América Latina (Argentina, Ecuador, Guatemala, Honduras y Panamá) entre junio y septiembre de 2025 por parte de un actor de amenazas con nombre en clave Gorrión famoso que probablemente explotó Inicio de sesión de proxy fallas en Microsoft Exchange Server para implementar SparrowDoor.
  • El ataque de una empresa taiwanesa del sector de la aviación de defensa, una organización comercial estadounidense con sede en China y las oficinas en China de una entidad gubernamental griega y un organismo gubernamental ecuatoriano con sede en China entre mayo y septiembre de 2025 por parte de un actor de amenazas con nombre en clave Ojo siniestro (también conocidos como LuoYu y Cascade Panda) para lanzar malware como WinDealer (para Windows) y SpyDealer (para Android) mediante ataques de adversarios intermedios (AiTM) para secuestrar mecanismos legítimos de actualización de software.
  • Un actor de amenazas con nombre en clave atacó a una empresa japonesa y a una empresa multinacional, ambas en Camboya, en junio de 2025 Demonio de peluche por medio de una intoxicación con AITM para administrar SlowStepper.

«PlushDaemon logra posicionarse en AiTM al comprometer los dispositivos de red, como los enrutadores, y al implementar una herramienta que hemos denominado EdgeSepper, que redirige el tráfico de DNS de la red objetivo a un servidor DNS remoto controlado por un atacante», afirma ESET.

«Este servidor responde a las consultas de los dominios asociados a la infraestructura de actualización de software con la dirección IP del servidor web que secuestra la actualización y, en última instancia, sirve como puerta trasera insignia de PlushDaemon, SlowStepper».

Los grupos de hackers chinos atacan servidores IIS mal configurados

En los últimos meses, los cazadores de amenazas también han descubierto a un actor de amenazas de habla china que atacaba servidores de IIS mal configurados mediante claves de máquina expuestas públicamente para instalar un backdoor llamado TOLLBOOTH (también conocido como HijackServer) que viene con capacidades de ocultación de SEO y web shell.

«REF3927 abusa de las claves de máquina de ASP.NET divulgadas públicamente para comprometer los servidores IIS e implementar los módulos de ocultación SEO de TOLLBOOTH en todo el mundo», afirman los investigadores de Elastic Security Labs dijo en un informe publicado a finales del mes pasado. Según HarfangLab, la operación ha infectado cientos de servidores en todo el mundo, y las infecciones se concentran en la India y los EE. UU.

Los ataques también se caracterizan por los intentos de convertir en arma el acceso inicial para eliminar el shell web de Godzilla, ejecutar la herramienta de acceso remoto GoToHTTP, usar Mimikatz para recopilar credenciales e implementar HIDDENDRIVER, una versión modificada del rootkit de código abierto. Oculto , para ocultar la presencia de cargas maliciosas en la máquina infectada.

Vale la pena señalar que el clúster es la última incorporación a una larga lista de actores de amenazas chinos, como Redirector fantasma , Operación Reescritura , y UAT-8099 , que han tenido como objetivo servidores IIS, lo que indica un aumento de dicha actividad.


«Si bien los operadores malintencionados parecen utilizar el chino como idioma principal y aprovechar los compromisos para respaldar la optimización de motores de búsqueda (SEO), observamos que el módulo implementado ofrece un canal persistente y sin autenticar que permite a cualquier parte ejecutar comandos de forma remota en los servidores afectados», dijo la empresa francesa de ciberseguridad dijo .

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.