Redazione RHC : 15 septiembre 2025 11:08
Investigadores de IBM X-Force han descubierto nuevas operaciones del grupo chino Hive0154, más conocido como Mustang Panda. Los expertos han documentado el uso simultáneo de una versión avanzada de la puerta trasera Toneshell y un nuevo gusano USB llamado SnakeDisk, que ataca específicamente a dispositivos en Tailandia. Este enfoque demuestra un esfuerzo específico para penetrar incluso las redes gubernamentales aisladas de la región.
La nueva versión del malware, denominada Toneshell9, representa una mejora significativa con respecto a las versiones anteriores, gracias a sus mecanismos integrados para operar a través de servidores proxy corporativos, lo que permite que el tráfico malicioso se haga pasar por conexiones de red legítimas.
El arsenal de Toneshell9 incluye una shell inversa dual para la ejecución paralela de comandos, algoritmos de cifrado únicos basados en generadores de números aleatorios modificados y técnicas de ofuscación de código mediante cadenas generadas por redes neuronales.
Para mantener su presencia en el equipo infectado, se realiza la carga lateral de DLL. Se utiliza un protocolo de autenticación de red (TLS) y la comunicación con los nodos de control se enmascara como paquetes de datos de aplicación TLS 1.2. El diseño del cliente permite la gestión simultánea de múltiples servidores, servidores proxy y conjuntos de claves. Cabe destacar la capacidad de leer la configuración del proxy desde el registro de Windows, lo que indica un profundo conocimiento de las arquitecturas de red.
Al mismo tiempo, los especialistas de IBM han identificado un gusano USB completamente nuevo, SnakeDisk. Este se activa solo cuando se detectan direcciones IP en Tailandia, lo que indica la focalización estratégica de la campaña. Las actividades de SnakeDisk incluyen la autopropagación a través de medios extraíbles, la ocultación de archivos legítimos en memorias USB y la instalación de la puerta trasera Yokai, utilizada previamente en ataques contra funcionarios tailandeses a finales de 2024.
Este método permite a los atacantes sortear brechas de aire y penetrar en sistemas críticos físicamente separados de internet. El momento de la campaña coincide con la escalada de los conflictos fronterizos entre Tailandia y Camboya en 2025, lo que añade un contexto político adicional al ataque.
Según los analistas, Hive0154 utiliza activamente técnicas de ingeniería social: se utilizaron documentos falsificados en nombre del Ministerio de Asuntos Exteriores de Myanmar para distribuir archivos infectados, distribuidos a través de los servicios en la nube Box y Google Drive. Los archivos maliciosos descargados de Singapur y Tailandia confirman la propagación selectiva de los ataques en países del sudeste asiático. El grupo cuenta con gestores de arranque propietarios, puertas traseras y familias de gusanos USB, lo que subraya su alto nivel de desarrollo.
IBM X-Force enfatiza que las acciones de Hive0154 se ajustan a los intereses estratégicos de China, donde Camboya es un aliado clave y la presión sobre Tailandia se está convirtiendo en una herramienta de la política regional. La selectividad geográfica de SnakeDisk demuestra que no se trata de una infección masiva, sino de una operación de reconocimiento y recopilación de inteligencia dirigida en condiciones cada vez más volátiles.
Los expertos aconsejan a las organizaciones en riesgo que refuercen sus defensas: monitoricen la actividad de los medios extraíbles, analicen el tráfico TLS sin protocolo de enlace e inspeccionen cuidadosamente los documentos descargados de servicios en la nube, incluso si parecen oficiales. Mustang Panda continúa evolucionando, y sus herramientas más recientes demuestran que la amenaza a los estados regionales sigue siendo grave y creciente.
RedazioneEn uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
