Redazione RHC : 21 septiembre 2025 20:53
El grupo Patchwork , también conocido con los alias APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger y Zinc Emerson , ha lanzado una nueva campaña de phishing dirigido contra el sector de defensa turco. El objetivo principal de los atacantes, según los analistas, era obtener información confidencial sobre el desarrollo de plataformas no tripuladas y armas hipersónicas.
Según Arctic Wolf Labs , la cadena de ataque consta de cinco etapas y comienza con la distribución de archivos LNK (accesos directos de Windows) camuflados como invitaciones a una conferencia internacional sobre vehículos no tripulados. Estos correos electrónicos estaban dirigidos a empleados de empresas que operan en el complejo militar-industrial turco , incluido un fabricante de misiles de alta precisión .
El contexto geopolítico hace que el ataque sea particularmente significativo: su lanzamiento coincidió con la profundización de la cooperación técnico-militar entre Turquía y Pakistán , así como con la escalada del conflicto entre Pakistán e India. Según varios analistas, Patchwork actúa en interés del Estado indio y ha estado atacando sistemáticamente objetivos políticos y militares en países del sur de Asia desde 2009.
A principios de 2025, el mismo grupo lanzó una campaña contra universidades chinas utilizando documentos relacionados con la energía como cebo . Utilizó un descargador basado en Rust que descifró y ejecutó un troyano en C# conocido como Protego , diseñado para recopilar datos de ordenadores infectados.
El último ataque a organizaciones de defensa turcas vuelve a utilizar archivos LNK que integran comandos de PowerShell . Los scripts inician una conexión con un servidor remoto, expouav[.]org (el dominio se registró el 25 de junio de 2025 y se utiliza como punto de distribución de carga útil). Además del código malicioso , el sitio contiene un documento PDF que simula una conferencia internacional y que aparentemente hace referencia a un evento real celebrado en la plataforma WASET. Esto permite que el usuario se distraiga con un » envoltorio » visualmente creíble mientras los scripts se ejecutan en segundo plano.
Las acciones posteriores conllevan la carga de una biblioteca DLL, iniciada mediante el método de carga lateral de DLL, es decir, reemplazando un componente legítimo en un proceso de confianza. Su ejecución se inicia mediante una tarea programada en el Programador de tareas de Windows , que ejecuta el shellcode incrustado. Este módulo realiza un reconocimiento del entorno: recopila información del sistema, toma capturas de pantalla y envía datos al servidor C2.
Una característica distintiva de las nuevas operaciones es el uso de archivos PE de 32 bits en lugar de las DLL de 64 bits utilizadas anteriormente . Esto indica una evolución de la base técnica y un intento de aumentar el nivel de ofuscación: los binarios x86 compactos son más fáciles de inyectar en procesos confiables, y el cambio de arquitectura dificulta la detección automática de amenazas.
Los investigadores también encontraron evidencia de superposición entre la infraestructura de Patchwork y elementos previamente asociados con el grupo DoNot Team (APT-Q-38, Bellyworm ), lo que podría indicar una cooperación táctica o logística entre los dos grupos APT indios.
La campaña contra la industria de defensa turca marca una expansión del enfoque de Patchwork, anteriormente centrado en el sur de Asia. Dado el papel clave de Turquía en el mercado de drones ( el país representa aproximadamente el 65% de las exportaciones mundiales ) y su ambición de desarrollar armas hipersónicas, las actividades del grupo indio de ciberespionaje parecen tener una motivación estratégica.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
