Redazione RHC : 15 septiembre 2025 11:08
Investigadores de IBM X-Force han descubierto nuevas operaciones del grupo chino Hive0154, más conocido como Mustang Panda. Los expertos han documentado el uso simultáneo de una versión avanzada de la puerta trasera Toneshell y un nuevo gusano USB llamado SnakeDisk, que ataca específicamente a dispositivos en Tailandia. Este enfoque demuestra un esfuerzo específico para penetrar incluso las redes gubernamentales aisladas de la región.
La nueva versión del malware, denominada Toneshell9, representa una mejora significativa con respecto a las versiones anteriores, gracias a sus mecanismos integrados para operar a través de servidores proxy corporativos, lo que permite que el tráfico malicioso se haga pasar por conexiones de red legítimas.
El arsenal de Toneshell9 incluye una shell inversa dual para la ejecución paralela de comandos, algoritmos de cifrado únicos basados en generadores de números aleatorios modificados y técnicas de ofuscación de código mediante cadenas generadas por redes neuronales.
Para mantener su presencia en el equipo infectado, se realiza la carga lateral de DLL. Se utiliza un protocolo de autenticación de red (TLS) y la comunicación con los nodos de control se enmascara como paquetes de datos de aplicación TLS 1.2. El diseño del cliente permite la gestión simultánea de múltiples servidores, servidores proxy y conjuntos de claves. Cabe destacar la capacidad de leer la configuración del proxy desde el registro de Windows, lo que indica un profundo conocimiento de las arquitecturas de red.
Al mismo tiempo, los especialistas de IBM han identificado un gusano USB completamente nuevo, SnakeDisk. Este se activa solo cuando se detectan direcciones IP en Tailandia, lo que indica la focalización estratégica de la campaña. Las actividades de SnakeDisk incluyen la autopropagación a través de medios extraíbles, la ocultación de archivos legítimos en memorias USB y la instalación de la puerta trasera Yokai, utilizada previamente en ataques contra funcionarios tailandeses a finales de 2024.
Este método permite a los atacantes sortear brechas de aire y penetrar en sistemas críticos físicamente separados de internet. El momento de la campaña coincide con la escalada de los conflictos fronterizos entre Tailandia y Camboya en 2025, lo que añade un contexto político adicional al ataque.
Según los analistas, Hive0154 utiliza activamente técnicas de ingeniería social: se utilizaron documentos falsificados en nombre del Ministerio de Asuntos Exteriores de Myanmar para distribuir archivos infectados, distribuidos a través de los servicios en la nube Box y Google Drive. Los archivos maliciosos descargados de Singapur y Tailandia confirman la propagación selectiva de los ataques en países del sudeste asiático. El grupo cuenta con gestores de arranque propietarios, puertas traseras y familias de gusanos USB, lo que subraya su alto nivel de desarrollo.
IBM X-Force enfatiza que las acciones de Hive0154 se ajustan a los intereses estratégicos de China, donde Camboya es un aliado clave y la presión sobre Tailandia se está convirtiendo en una herramienta de la política regional. La selectividad geográfica de SnakeDisk demuestra que no se trata de una infección masiva, sino de una operación de reconocimiento y recopilación de inteligencia dirigida en condiciones cada vez más volátiles.
Los expertos aconsejan a las organizaciones en riesgo que refuercen sus defensas: monitoricen la actividad de los medios extraíbles, analicen el tráfico TLS sin protocolo de enlace e inspeccionen cuidadosamente los documentos descargados de servicios en la nube, incluso si parecen oficiales. Mustang Panda continúa evolucionando, y sus herramientas más recientes demuestran que la amenaza a los estados regionales sigue siendo grave y creciente.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
