Redazione RHC : 21 septiembre 2025 20:53
El grupo Patchwork , también conocido con los alias APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger y Zinc Emerson , ha lanzado una nueva campaña de phishing dirigido contra el sector de defensa turco. El objetivo principal de los atacantes, según los analistas, era obtener información confidencial sobre el desarrollo de plataformas no tripuladas y armas hipersónicas.
Según Arctic Wolf Labs , la cadena de ataque consta de cinco etapas y comienza con la distribución de archivos LNK (accesos directos de Windows) camuflados como invitaciones a una conferencia internacional sobre vehículos no tripulados. Estos correos electrónicos estaban dirigidos a empleados de empresas que operan en el complejo militar-industrial turco , incluido un fabricante de misiles de alta precisión .
El contexto geopolítico hace que el ataque sea particularmente significativo: su lanzamiento coincidió con la profundización de la cooperación técnico-militar entre Turquía y Pakistán , así como con la escalada del conflicto entre Pakistán e India. Según varios analistas, Patchwork actúa en interés del Estado indio y ha estado atacando sistemáticamente objetivos políticos y militares en países del sur de Asia desde 2009.
A principios de 2025, el mismo grupo lanzó una campaña contra universidades chinas utilizando documentos relacionados con la energía como cebo . Utilizó un descargador basado en Rust que descifró y ejecutó un troyano en C# conocido como Protego , diseñado para recopilar datos de ordenadores infectados.
El último ataque a organizaciones de defensa turcas vuelve a utilizar archivos LNK que integran comandos de PowerShell . Los scripts inician una conexión con un servidor remoto, expouav[.]org (el dominio se registró el 25 de junio de 2025 y se utiliza como punto de distribución de carga útil). Además del código malicioso , el sitio contiene un documento PDF que simula una conferencia internacional y que aparentemente hace referencia a un evento real celebrado en la plataforma WASET. Esto permite que el usuario se distraiga con un » envoltorio » visualmente creíble mientras los scripts se ejecutan en segundo plano.
Las acciones posteriores conllevan la carga de una biblioteca DLL, iniciada mediante el método de carga lateral de DLL, es decir, reemplazando un componente legítimo en un proceso de confianza. Su ejecución se inicia mediante una tarea programada en el Programador de tareas de Windows , que ejecuta el shellcode incrustado. Este módulo realiza un reconocimiento del entorno: recopila información del sistema, toma capturas de pantalla y envía datos al servidor C2.
Una característica distintiva de las nuevas operaciones es el uso de archivos PE de 32 bits en lugar de las DLL de 64 bits utilizadas anteriormente . Esto indica una evolución de la base técnica y un intento de aumentar el nivel de ofuscación: los binarios x86 compactos son más fáciles de inyectar en procesos confiables, y el cambio de arquitectura dificulta la detección automática de amenazas.
Los investigadores también encontraron evidencia de superposición entre la infraestructura de Patchwork y elementos previamente asociados con el grupo DoNot Team (APT-Q-38, Bellyworm ), lo que podría indicar una cooperación táctica o logística entre los dos grupos APT indios.
La campaña contra la industria de defensa turca marca una expansión del enfoque de Patchwork, anteriormente centrado en el sur de Asia. Dado el papel clave de Turquía en el mercado de drones ( el país representa aproximadamente el 65% de las exportaciones mundiales ) y su ambición de desarrollar armas hipersónicas, las actividades del grupo indio de ciberespionaje parecen tener una motivación estratégica.
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
