sep 10, 2025Rravie Lakshmanancybersecurity / malware Un grupo avanzado de amenaza persistente (APT) de China se ha atribuido al compromiso de una compañía militar con sede en Filipinas que utiliza un marco de malware previamente innegumiado llamado Eggstreme. «Este conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar un código malicioso directamente en la memoria y aprovechar la versión lateral de DLL para ejecutar cargas útiles», dijo el investigador de Bitdefender, Bogdan Zavadovschi, en un informe compartido con las noticias del hacker. «El componente central, Eggstremeagent, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de un keylogger inyectado». La orientación de Filipinas es un patrón recurrente para los grupos de piratería patrocinados por el estado chino, particularmente a la luz de las tensiones geopolíticas alimentadas por disputas territoriales en el Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei. El proveedor de ciberseguridad rumano, que detectó signos de actividad maliciosa por primera vez a principios de 2024, describió a Eggstreme como un conjunto de componentes maliciosos bien integrados que está diseñado para establecer un «punto de apoyo resistente» en las máquinas infectadas. El punto de partida de la operación de varias etapas es una carga útil llamada Eggstremefuel («MSCorsvc.dll») que realiza el perfil del sistema y implementa Eggstremeloader para configurar la persistencia y luego ejecuta EggstremereFlectiveLoader, que, a su vez, desencadena Eggstremeage. Las funciones de EggstremeFuel se realizan abriendo un canal de comunicación activo con un comando y control (C2), permitiéndole: obtener información de la unidad iniciar cmd.exe y establecer comunicación a través de tuberías cierran graciosamente todas las conexiones y apagado leer un archivo y guardarlo en disco Leer un archivo local de una ruta dada y transmitir su contenido envía la dirección de IP externa al hacer una solicitud a mixternalip[.]COM/RAW Volcar la configuración en memoria al disco llamando a Eggstremeagent el «sistema nervioso central» del marco, la puerta trasera funciona al monitorear las nuevas sesiones de usuario e inyectar un componente de Keylogger denominado EggstremeKeylogger para cada sesión para cosechar KeyStrokes y otros datos sensibles. Se comunica con un servidor C2 utilizando el protocolo de llamada de procedimiento remoto de Google (GRPC). Admite 58 comandos impresionantes que permiten una amplia gama de capacidades para facilitar el descubrimiento local y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la escalada de privilegios, el movimiento lateral, la exfiltración de datos e inyección de la carga útil, incluido un implante auxiliar en código Eggstremewizard («Xwizards.dll»).).).). «Los atacantes usan esto para lanzar un binario legítimo que SideLoads the Malicious DLL, una técnica que abusan constantemente a lo largo de la cadena de ataque», señaló Zavadovschi. «Esta puerta trasera secundaria proporciona capacidades de acceso de shell inversa y carga de archivos/descarga. Su diseño también incorpora una lista de múltiples servidores C2, mejorando su resistencia y asegurando que la comunicación con el atacante pueda mantenerse incluso si se desconecta un servidor C2». La actividad también se caracteriza por el uso de la utilidad proxy de Stowaway para establecer una posición de red interna. Para complicar aún más la detección, es la naturaleza sin archivo del marco, lo que hace que el código malicioso se cargue y ejecute directamente en la memoria sin dejar ningún rastro en el disco. «Esto, junto con el uso intensivo de la carga lateral de DLL y el sofisticado flujo de ejecución de varias etapas, permite que el marco funcione con un perfil bajo, por lo que es una amenaza significativa y persistente», dijo Bitdefender. «La familia de malware Eggstreme es una amenaza altamente sofisticada y múltiple diseñada para lograr un acceso persistente, movimiento lateral y exfiltración de datos. El actor de amenaza demuestra una comprensión avanzada de las técnicas defensivas modernas mediante el empleo de una variedad de tácticas para evadir la detección».