Redazione RHC : 4 agosto 2025 07:16
El grupo cibernético APT41, vinculado a China, ha lanzado una nueva operación de espionaje dirigida a los servicios informáticos gubernamentales en África, un giro inesperado para una región que anteriormente se consideraba un objetivo improbable. Los especialistas de Kaspersky Lab identificaron el ataque tras detectar actividad sospechosa en estaciones de trabajo de una organización no identificada. Los atacantes utilizaron herramientas de administración remota y ejecutaron comandos para garantizar la disponibilidad de sus servidores de control dentro de la red comprometida.
Posteriormente se reveló que el punto de entrada era un host imposible de rastrear, donde se ejecutó el framework Impacket, incluidos los módulos Atexec y WmiExec, bajo una cuenta de servicio. Tras la ejecución, los atacantes detuvieron temporalmente sus actividades. Sin embargo, pronto comenzaron a usar credenciales robadas con altos privilegios para escalar sus derechos y moverse lateralmente por la red, incluyendo el uso de la herramienta Cobalt Strike, implementada mediante la instalación de DLL.
La característica única de las bibliotecas maliciosas es que supervisan la configuración de idioma del sistema y cancelan la ejecución si se detectan paquetes de idioma chino (tanto simplificado como tradicional), japonés o coreano. Esta medida tiene como objetivo claro prevenir la infección de equipos en los países donde se encuentran los desarrolladores.
Los atacantes también utilizaron SharePoint Server como centro de control en la infraestructura de la víctima, camuflando la actividad maliciosa como actividad comercial normal. Se utilizó para transmitir comandos ejecutados por un troyano escrito en C#, que accedió al sistema mediante los archivos «agents.exe» y «agentx.exe» transmitidos mediante el protocolo SMB. Estos archivos ejecutables interactuaron con el shell web CommandHandler.aspx instalado en SharePoint, ejecutando los comandos de los atacantes.
El ataque combina técnicas de penetración comunes con tácticas de «Vivir de la tierra», que utilizan servicios corporativos legítimos como herramientas de control. Estas técnicas cumplen con los estándares MITRE ATT&CK T1071.001 y T1047, lo que dificulta especialmente su detección con métodos tradicionales.
Tras un reconocimiento inicial, los atacantes se centraron en las máquinas de interés. Desde allí, ejecutaban scripts a través de cmd.exe que descargaban archivos HTA maliciosos de una fuente externa, cuyo dominio se camuflaba como un recurso oficial de GitHub. Si bien aún se desconoce la funcionalidad exacta del contenido descargado, se sabe que uno de los scripts utilizados anteriormente ejecutaba un shell inverso, lo que proporcionaba control remoto completo del sistema.
Se utilizó una amplia gama de herramientas para recopilar información. Una versión modificada de la herramienta Pillager permitía el robo de credenciales de inicio de sesión de navegadores y terminales, archivos, correspondencia, correos electrónicos, capturas de pantalla y otra información confidencial. La herramienta Checkout recopilaba información sobre los archivos descargados y los detalles de pago, incluyendo datos de navegadores como Chrome, Opera, Brave y otros. La utilidad RawCopy se utilizó para extraer el registro sin procesar. archivos, mientras que Mimikatz se utilizó para descargar las credenciales de usuario.
APT41 demostró un alto nivel de adaptabilidad, adaptando sus módulos de malware a las características específicas de la infraestructura de la víctima. Además, los atacantes utilizaron activamente una combinación de herramientas legítimas y propietarias, incluyendo herramientas de pruebas de penetración, para camuflar el ataque como acciones de personal interno.
Esta operación en África marca un cambio en el enfoque geográfico de APT41 y destaca la creciente atención de las unidades cibernéticas chinas hacia regiones previamente inexploradas por sus objetivos. Según Trend Micro, los primeros indicios de actividad Ya a finales de 2022 se observaron avances en esta dirección. El uso de servicios corporativos internos como canales de control y recopilación de datos confirma una evolución en los enfoques, donde la frontera entre las pruebas de penetración y los ataques reales prácticamente se difumina.
RedazioneUna publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...
«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...
El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...
Para más información: [email protected]
