Redazione RHC : 15 septiembre 2025 11:08
Investigadores de IBM X-Force han descubierto nuevas operaciones del grupo chino Hive0154, más conocido como Mustang Panda. Los expertos han documentado el uso simultáneo de una versión avanzada de la puerta trasera Toneshell y un nuevo gusano USB llamado SnakeDisk, que ataca específicamente a dispositivos en Tailandia. Este enfoque demuestra un esfuerzo específico para penetrar incluso las redes gubernamentales aisladas de la región.
La nueva versión del malware, denominada Toneshell9, representa una mejora significativa con respecto a las versiones anteriores, gracias a sus mecanismos integrados para operar a través de servidores proxy corporativos, lo que permite que el tráfico malicioso se haga pasar por conexiones de red legítimas.
El arsenal de Toneshell9 incluye una shell inversa dual para la ejecución paralela de comandos, algoritmos de cifrado únicos basados en generadores de números aleatorios modificados y técnicas de ofuscación de código mediante cadenas generadas por redes neuronales.
Para mantener su presencia en el equipo infectado, se realiza la carga lateral de DLL. Se utiliza un protocolo de autenticación de red (TLS) y la comunicación con los nodos de control se enmascara como paquetes de datos de aplicación TLS 1.2. El diseño del cliente permite la gestión simultánea de múltiples servidores, servidores proxy y conjuntos de claves. Cabe destacar la capacidad de leer la configuración del proxy desde el registro de Windows, lo que indica un profundo conocimiento de las arquitecturas de red.
NIS2: diventa pronto alle nuove regole europeeLa Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al mismo tiempo, los especialistas de IBM han identificado un gusano USB completamente nuevo, SnakeDisk. Este se activa solo cuando se detectan direcciones IP en Tailandia, lo que indica la focalización estratégica de la campaña. Las actividades de SnakeDisk incluyen la autopropagación a través de medios extraíbles, la ocultación de archivos legítimos en memorias USB y la instalación de la puerta trasera Yokai, utilizada previamente en ataques contra funcionarios tailandeses a finales de 2024.
Este método permite a los atacantes sortear brechas de aire y penetrar en sistemas críticos físicamente separados de internet. El momento de la campaña coincide con la escalada de los conflictos fronterizos entre Tailandia y Camboya en 2025, lo que añade un contexto político adicional al ataque.
Según los analistas, Hive0154 utiliza activamente técnicas de ingeniería social: se utilizaron documentos falsificados en nombre del Ministerio de Asuntos Exteriores de Myanmar para distribuir archivos infectados, distribuidos a través de los servicios en la nube Box y Google Drive. Los archivos maliciosos descargados de Singapur y Tailandia confirman la propagación selectiva de los ataques en países del sudeste asiático. El grupo cuenta con gestores de arranque propietarios, puertas traseras y familias de gusanos USB, lo que subraya su alto nivel de desarrollo.
IBM X-Force enfatiza que las acciones de Hive0154 se ajustan a los intereses estratégicos de China, donde Camboya es un aliado clave y la presión sobre Tailandia se está convirtiendo en una herramienta de la política regional. La selectividad geográfica de SnakeDisk demuestra que no se trata de una infección masiva, sino de una operación de reconocimiento y recopilación de inteligencia dirigida en condiciones cada vez más volátiles.
Los expertos aconsejan a las organizaciones en riesgo que refuercen sus defensas: monitoricen la actividad de los medios extraíbles, analicen el tráfico TLS sin protocolo de enlace e inspeccionen cuidadosamente los documentos descargados de servicios en la nube, incluso si parecen oficiales. Mustang Panda continúa evolucionando, y sus herramientas más recientes demuestran que la amenaza a los estados regionales sigue siendo grave y creciente.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
