Un grupo de ciberespionaje previamente indocumentado que operaba desde Asia irrumpió en las redes de al menos 70 organizaciones gubernamentales y de infraestructura crítica en 37 países durante el año pasado, según nuevos hallazgos de la Unidad 42 de Palo Alto Networks.

Además, se ha observado al equipo de piratas informáticos realizando un reconocimiento activo contra la infraestructura gubernamental asociada a 155 países entre noviembre y diciembre de 2025. Entre las entidades que se han visto comprometidas con éxito figuran cinco entidades nacionales encargadas de hacer cumplir la ley y el control fronterizo, tres ministerios de finanzas y otros ministerios gubernamentales, y departamentos relacionados con las funciones económicas, comerciales, de recursos naturales y diplomáticas.

La empresa de ciberseguridad está rastreando la actividad en el marco del sobrenombre TGR-STA-1030 , donde «TGR» significa grupo de amenaza temporal y «STA» se refiere a la motivación respaldada por el estado. La evidencia muestra que el autor de la amenaza ha estado activo desde enero de 2024.

Si bien el país de origen de los piratas informáticos sigue sin estar claro, se considera que son de origen asiático, dado el uso de herramientas y servicios regionales, las preferencias de configuración del idioma, la segmentación coherente con los eventos y la información de interés para la región, y su horario de atención GMT+8.

adsense

Se ha descubierto que las cadenas de ataque utilizan los correos electrónicos de suplantación de identidad como punto de partida para engañar a los destinatarios para que hagan clic en un enlace que apunta al servicio de alojamiento de archivos MEGA, con sede en Nueva Zelanda. El enlace aloja un Archivo ZIP que contiene un ejecutable denominado Diaoyu Loader y un archivo de cero bytes llamado «pic1.png».

«El malware emplea una barrera de ejecución en dos etapas para frustrar el análisis automatizado de entornos aislados», afirma Unit 42. «Además del requisito de hardware de una resolución de pantalla horizontal superior o igual a 1440, la muestra comprueba la dependencia ambiental de un archivo específico (pic1.png) en su directorio de ejecución».

La imagen PNG actúa como una comprobación de integridad basada en archivos que hace que el artefacto de malware finalice antes de desencadenar su comportamiento nefasto en caso de que no esté presente en la misma ubicación. Solo después de cumplir esta condición, el malware comprueba la presencia de programas de ciberseguridad específicos de Avira (» SentryEye.exe «), Bitdefender (» EPSecurityService.exe «), Kaspersky (» Avp.exe «), Sentinel One (» SentinelUI.exe «) y Symantec (» NortonSecurity.exe «).

Actualmente no se sabe por qué los actores de amenazas han optado por buscar solo una selección limitada de productos. El objetivo final del cargador es descargar tres imágenes (» admin-bar-sprite.png», "Linux.jpg» y "Windows.jpg «) de un repositorio de GitHub llamado «WordPress», que sirvan de conducto para el despliegue de una carga útil de Cobalt Strike. La cuenta de GitHub asociada («github [.] com/padeqav») ya no está disponible.

También se ha observado que el TGR-STA-1030 intenta aprovechar varios tipos de vulnerabilidades de un día para otro que afectan a un gran número de productos de software de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault y Eyou Email System para obtener un acceso inicial a las redes objetivo. No hay pruebas que indiquen que el grupo haya desarrollado o aprovechado ninguna vulnerabilidad de día cero en sus ataques.

Entre las herramientas que utiliza el actor de amenazas se encuentran los marcos de comando y control (C2), los webshells y las utilidades de tunelización -

enlaces

Vale la pena señalar que el uso de los webshells antes mencionados está vinculado con frecuencia a grupos de hackers chinos. Otra herramienta destacable es un rootkit del núcleo de Linux, cuyo nombre en código es ShadowGuard, que utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para ocultar detalles de la información de los procesos, interceptar llamadas críticas al sistema para ocultar procesos específicos de las herramientas de análisis del espacio de usuario como ps y ocultar directorios y archivos denominados «swsecret».

«El grupo arrienda y configura rutinariamente sus servidores C2 en una infraestructura propiedad de una variedad de proveedores de VPS legítimos y comúnmente conocidos», dijo Unit 42. «Para conectarse a la infraestructura C2, el grupo arrienda una infraestructura VPS adicional que utiliza para retransmitir el tráfico».

El proveedor de ciberseguridad dijo que el adversario logró mantener el acceso a varias de las entidades afectadas durante meses, lo que indica los esfuerzos por recopilar información de inteligencia durante períodos prolongados.

«El TGR-STA-1030 sigue siendo una amenaza activa para el gobierno y la infraestructura crítica en todo el mundo. El grupo ataca principalmente a los ministerios y departamentos gubernamentales con fines de espionaje», concluyó. «Consideramos que prioriza los esfuerzos contra los países que han establecido o están explorando ciertas asociaciones económicas».

«Si bien este grupo podría estar persiguiendo objetivos de espionaje, sus métodos, objetivos y escala de operaciones son alarmantes, con posibles consecuencias a largo plazo para la seguridad nacional y los servicios clave».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.