Redazione RHC : 4 agosto 2025 07:16
El grupo cibernético APT41, vinculado a China, ha lanzado una nueva operación de espionaje dirigida a los servicios informáticos gubernamentales en África, un giro inesperado para una región que anteriormente se consideraba un objetivo improbable. Los especialistas de Kaspersky Lab identificaron el ataque tras detectar actividad sospechosa en estaciones de trabajo de una organización no identificada. Los atacantes utilizaron herramientas de administración remota y ejecutaron comandos para garantizar la disponibilidad de sus servidores de control dentro de la red comprometida.
Posteriormente se reveló que el punto de entrada era un host imposible de rastrear, donde se ejecutó el framework Impacket, incluidos los módulos Atexec y WmiExec, bajo una cuenta de servicio. Tras la ejecución, los atacantes detuvieron temporalmente sus actividades. Sin embargo, pronto comenzaron a usar credenciales robadas con altos privilegios para escalar sus derechos y moverse lateralmente por la red, incluyendo el uso de la herramienta Cobalt Strike, implementada mediante la instalación de DLL.
La característica única de las bibliotecas maliciosas es que supervisan la configuración de idioma del sistema y cancelan la ejecución si se detectan paquetes de idioma chino (tanto simplificado como tradicional), japonés o coreano. Esta medida tiene como objetivo claro prevenir la infección de equipos en los países donde se encuentran los desarrolladores.
Los atacantes también utilizaron SharePoint Server como centro de control en la infraestructura de la víctima, camuflando la actividad maliciosa como actividad comercial normal. Se utilizó para transmitir comandos ejecutados por un troyano escrito en C#, que accedió al sistema mediante los archivos «agents.exe» y «agentx.exe» transmitidos mediante el protocolo SMB. Estos archivos ejecutables interactuaron con el shell web CommandHandler.aspx instalado en SharePoint, ejecutando los comandos de los atacantes.
El ataque combina técnicas de penetración comunes con tácticas de «Vivir de la tierra», que utilizan servicios corporativos legítimos como herramientas de control. Estas técnicas cumplen con los estándares MITRE ATT&CK T1071.001 y T1047, lo que dificulta especialmente su detección con métodos tradicionales.
Tras un reconocimiento inicial, los atacantes se centraron en las máquinas de interés. Desde allí, ejecutaban scripts a través de cmd.exe que descargaban archivos HTA maliciosos de una fuente externa, cuyo dominio se camuflaba como un recurso oficial de GitHub. Si bien aún se desconoce la funcionalidad exacta del contenido descargado, se sabe que uno de los scripts utilizados anteriormente ejecutaba un shell inverso, lo que proporcionaba control remoto completo del sistema.
Se utilizó una amplia gama de herramientas para recopilar información. Una versión modificada de la herramienta Pillager permitía el robo de credenciales de inicio de sesión de navegadores y terminales, archivos, correspondencia, correos electrónicos, capturas de pantalla y otra información confidencial. La herramienta Checkout recopilaba información sobre los archivos descargados y los detalles de pago, incluyendo datos de navegadores como Chrome, Opera, Brave y otros. La utilidad RawCopy se utilizó para extraer el registro sin procesar. archivos, mientras que Mimikatz se utilizó para descargar las credenciales de usuario.
APT41 demostró un alto nivel de adaptabilidad, adaptando sus módulos de malware a las características específicas de la infraestructura de la víctima. Además, los atacantes utilizaron activamente una combinación de herramientas legítimas y propietarias, incluyendo herramientas de pruebas de penetración, para camuflar el ataque como acciones de personal interno.
Esta operación en África marca un cambio en el enfoque geográfico de APT41 y destaca la creciente atención de las unidades cibernéticas chinas hacia regiones previamente inexploradas por sus objetivos. Según Trend Micro, los primeros indicios de actividad Ya a finales de 2022 se observaron avances en esta dirección. El uso de servicios corporativos internos como canales de control y recopilación de datos confirma una evolución en los enfoques, donde la frontera entre las pruebas de penetración y los ataques reales prácticamente se difumina.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
