18 de junio de 2025Rravie Lakshmanancer Espionaje / malware múltiples sectores en China, Hong Kong y Pakistán se han convertido en el objetivo de un clúster de actividad de amenazas rastreado como UNG0002 (también conocido como un grupo desconocido 0002) como parte de una campaña de aspiración cibernética más amplia. «Esta entidad de amenaza demuestra una fuerte preferencia por el uso de archivos de acceso directo (LNK), VBScript y herramientas posteriores a la explotación, como Cobalt Strike y MetaSploit, al tiempo que implementa constantemente documentos de señuelos con temática de CV para atraer a las víctimas», dijo el investigador de Seqrite Labs Subhjeet Singha publicado en un informe esta semana. La actividad abarca dos campañas principales, una llamada Operation Cobalt Whisper que tuvo lugar entre mayo y septiembre de 2024, y la Operación Ambermist que ocurrió entre enero y mayo de 2025. Los objetivos de estas campañas incluyen defensa, ingeniería electrotécnica, energía, aviación civil, academia, instituciones médicas, ciberseguridad, juegos y sectores de desarrollo de software. La Operación Cobalt Whisper fue documentada por primera vez por Seqrite Labs a fines de octubre de 2024, detallando el uso de archivos ZIP propagados a través de ataques de phishing de lanza para entregar balizas de ataque de cobalto, un marco posterior a la explotación, utilizando scripts LNK y Visual Basic como cargas intermedias. «El alcance y la complejidad de la campaña, junto con los señuelos personalizados, sugieren un esfuerzo objetivo de un grupo apto para comprometer la investigación sensible y la propiedad intelectual en estas industrias», señaló la compañía en ese momento. Se ha encontrado que los cadenas de ataque amberestas aprovechan los correos electrónicos de phishing de lanza como un punto de partida para entregar archivos LNK disfrazados de currículo vitae y se reanudan para desatar un proceso de infección en varias etapas que resulta en el despliegue de INET RAT y Blister DLL cargador. Se ha encontrado que las secuencias de ataque alternativas detectadas en enero de 2025 redirigen a los destinatarios de correo electrónico a las páginas de destino falsas que falsifican el sitio web del Ministerio de Asuntos Marítimos (MoMA) de Pakistán para servir verificaciones falsas de verificación de Captcha que emplean tácticas de ClickFix para lanzar comandos PowerShell, que se utilizan para ejecutar a Shadow Rat. Shadow Rat, lanzado a través de la carga lateral de DLL, es capaz de establecer contacto con un servidor remoto para esperar más comandos. Se evalúa que INET RAT es una versión modificada de Shadow Rat, mientras que el implante DLL Blister funciona como un cargador de códigos de carcasa, eventualmente allanando el camino para un implante basado en la cubierta inversa. Los orígenes exactos del actor de amenaza siguen sin estar claros, pero la evidencia apunta a que es un grupo centrado en el espionaje del sudeste asiático. «UNG0002 representa una entidad de amenaza sofisticada y persistente del sur de Asia que ha mantenido operaciones consistentes dirigidas a múltiples jurisdicciones asiáticas desde al menos mayo de 2024», dijo Singha. «El grupo demuestra una alta adaptabilidad y competencia técnica, evolucionando continuamente su conjunto de herramientas mientras mantiene tácticas, técnicas y procedimientos consistentes».
Deja una respuesta