Redazione RHC : 4 agosto 2025 07:16
El grupo cibernético APT41, vinculado a China, ha lanzado una nueva operación de espionaje dirigida a los servicios informáticos gubernamentales en África, un giro inesperado para una región que anteriormente se consideraba un objetivo improbable. Los especialistas de Kaspersky Lab identificaron el ataque tras detectar actividad sospechosa en estaciones de trabajo de una organización no identificada. Los atacantes utilizaron herramientas de administración remota y ejecutaron comandos para garantizar la disponibilidad de sus servidores de control dentro de la red comprometida.
Posteriormente se reveló que el punto de entrada era un host imposible de rastrear, donde se ejecutó el framework Impacket, incluidos los módulos Atexec y WmiExec, bajo una cuenta de servicio. Tras la ejecución, los atacantes detuvieron temporalmente sus actividades. Sin embargo, pronto comenzaron a usar credenciales robadas con altos privilegios para escalar sus derechos y moverse lateralmente por la red, incluyendo el uso de la herramienta Cobalt Strike, implementada mediante la instalación de DLL.
La característica única de las bibliotecas maliciosas es que supervisan la configuración de idioma del sistema y cancelan la ejecución si se detectan paquetes de idioma chino (tanto simplificado como tradicional), japonés o coreano. Esta medida tiene como objetivo claro prevenir la infección de equipos en los países donde se encuentran los desarrolladores.
Los atacantes también utilizaron SharePoint Server como centro de control en la infraestructura de la víctima, camuflando la actividad maliciosa como actividad comercial normal. Se utilizó para transmitir comandos ejecutados por un troyano escrito en C#, que accedió al sistema mediante los archivos «agents.exe» y «agentx.exe» transmitidos mediante el protocolo SMB. Estos archivos ejecutables interactuaron con el shell web CommandHandler.aspx instalado en SharePoint, ejecutando los comandos de los atacantes.
El ataque combina técnicas de penetración comunes con tácticas de «Vivir de la tierra», que utilizan servicios corporativos legítimos como herramientas de control. Estas técnicas cumplen con los estándares MITRE ATT&CK T1071.001 y T1047, lo que dificulta especialmente su detección con métodos tradicionales.
Tras un reconocimiento inicial, los atacantes se centraron en las máquinas de interés. Desde allí, ejecutaban scripts a través de cmd.exe que descargaban archivos HTA maliciosos de una fuente externa, cuyo dominio se camuflaba como un recurso oficial de GitHub. Si bien aún se desconoce la funcionalidad exacta del contenido descargado, se sabe que uno de los scripts utilizados anteriormente ejecutaba un shell inverso, lo que proporcionaba control remoto completo del sistema.
Se utilizó una amplia gama de herramientas para recopilar información. Una versión modificada de la herramienta Pillager permitía el robo de credenciales de inicio de sesión de navegadores y terminales, archivos, correspondencia, correos electrónicos, capturas de pantalla y otra información confidencial. La herramienta Checkout recopilaba información sobre los archivos descargados y los detalles de pago, incluyendo datos de navegadores como Chrome, Opera, Brave y otros. La utilidad RawCopy se utilizó para extraer el registro sin procesar. archivos, mientras que Mimikatz se utilizó para descargar las credenciales de usuario.
APT41 demostró un alto nivel de adaptabilidad, adaptando sus módulos de malware a las características específicas de la infraestructura de la víctima. Además, los atacantes utilizaron activamente una combinación de herramientas legítimas y propietarias, incluyendo herramientas de pruebas de penetración, para camuflar el ataque como acciones de personal interno.
Esta operación en África marca un cambio en el enfoque geográfico de APT41 y destaca la creciente atención de las unidades cibernéticas chinas hacia regiones previamente inexploradas por sus objetivos. Según Trend Micro, los primeros indicios de actividad Ya a finales de 2022 se observaron avances en esta dirección. El uso de servicios corporativos internos como canales de control y recopilación de datos confirma una evolución en los enfoques, donde la frontera entre las pruebas de penetración y los ataques reales prácticamente se difumina.
RedazioneDos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
