Jul 04, 2025Ravie Lakshmananzero-Day / Cyber ​​Espionage Investigadores de seguridad cibernética han arrojado luz sobre un actor de amenaza previamente indocumentado llamado Nighteagle (también conocido como APT-Q-95) que se ha observado dirigido a los servidores de intercambio de Microsoft como una parte de una cadena de exploy cero diseñada para el gobierno objetivo, la defensa y los sectores tecnológicos en China. Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera edición de la Exposición y Conferencia de Seguridad Cibernética Nacional de Malasia celebrada entre el 1 y el 3 de julio de 2025. «Parece tener la velocidad de un águila y ha estado operando por la noche en China», dijo el Vendor de seguridad cibernética, explicando la ración detrás de la noche adversaria. Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de alta tecnología, la tecnología cuántica, la inteligencia artificial y las verticales militares con el objetivo principal de recopilar inteligencia, agregó Qianxin. La compañía también señaló que comenzó una investigación después de descubrir una versión a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada. «El atacante modificó el código fuente de la herramienta de penetración de intranet de cincel de código abierto, codificados por los parámetros de ejecución, utilizó el nombre de usuario y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para lograr la función de penetración Intranet», dijo en un informe en un informe. Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un análisis posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener acceso no autorizado al servidor de Exchange. «El atacante utilizó la clave para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la versión de intercambio y leyendo de forma remota los datos del buzón de cualquier persona», dijo el informe. Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Norte dado que los ataques tuvieron lugar entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.