Los investigadores de ciberseguridad están llamando la atención sobre la actividad maliciosa orquestada por un grupo de espionaje cibernético de China-Nexus conocido como panda turbia que implica abusar de las relaciones confiables en la nube para violar las redes empresariales. «El adversario también ha mostrado una capacidad considerable para armarse rápidamente las vulnerabilidades de N-Día y cero y con frecuencia logra el acceso inicial a sus objetivos al explotar los electrodomésticos orientados a Internet», dijo Crowdstrike en un informe del jueves. Murky Panda, también conocido como Typhoon de Silk (anteriormente Hafnium), es mejor conocido por su explotación de día cero de fallas de Microsoft Exchange Server en 2021. Los ataques montados por el grupo de piratería han dirigido al gobierno, tecnología, académica, legal y entidades de servicios profesionales en América del Norte. A principios de marzo, Microsoft detalló el cambio de tácticas del actor de amenaza, detallando su objetivo de la cadena de suministro de la tecnología de la información (TI) como un medio para obtener acceso inicial a las redes corporativas. Se evalúa que las operaciones turbias de Panda están impulsadas por la recopilación de inteligencia. Al igual que otros grupos de piratería chinos, Murky Panda ha explotado los electrodomésticos de Internet para obtener el acceso inicial y se cree que también ha comprometido los dispositivos de una pequeña oficina/oficina doméstica (SOHO) que se geolocan en el país objetivo como un nodo de salida para obstaculizar los esfuerzos de detección. Otras vías de infección incluyen la explotación de fallas de seguridad conocidas en Citrix Netscaler ADC y NetScaler Gateway (CVE-2023-3519) y Commvault (CVE-2025-3928). El acceso inicial se aprovecha para implementar proyectiles web como Neo-Regegeorg para establecer la persistencia y, en última instancia, soltar un malware personalizado llamado Cloudedhope. Un binario ELF de 64 bits y escrito en Golang, Cloudedhope funciona como una herramienta básica de acceso remoto (RAT) mientras emplea medidas antianálisis y seguridad operativa (OPSEC), como modificar las marcas de tiempo y la eliminación de indicadores de su presencia en entornos de víctimas para volar bajo el radar. Pero un aspecto notable de la artesanía de Murky Panda se refiere al abuso de las relaciones confiables entre las organizaciones asociadas y sus inquilinos en la nube, explotando vulnerabilidades de día cero para violar los entornos de la nube de los proveedores de software como servicio (SaaS) y llevar a cabo un movimiento lateral a víctimas posteriores. En al menos un caso observado a fines de 2024, se dice que el actor de amenazas comprometió a un proveedor de una entidad norteamericana y utilizó el acceso administrativo del proveedor al inquilino Entra Id de la entidad de la víctima para agregar una cuenta temporal de entrada trasera. «Usando esta cuenta, el actor de amenazas luego fue trasero varios principios de servicio de ID de ID preexistentes relacionados con la gestión y los correos electrónicos de Active Directory», dijo CrowdStrike. «Los objetivos del adversario parecen atacados en la naturaleza en función de su enfoque en acceder a los correos electrónicos». Desde turbio hasta génesis, otro actor de amenaza vinculado a China que ha demostrado ser hábil en la manipulación de los servicios en la nube es Genesis Panda, que se ha observado utilizando la infraestructura para la exfiltración básica y las cuentas del proveedor de servicios de la nube (CSP) para expandir el acceso y establecer mecanismos persistentes de respaldo. Activo desde al menos en enero de 2024, Genesis Panda se ha atribuido a operaciones de alto volumen dirigidas a los sectores de servicios financieros, medios, telecomunicaciones y tecnología que abarcan 11 países. El objetivo de los ataques es permitir el acceso para futuras actividades de recolección de inteligencia. La posibilidad de que actúe como un corredor de acceso inicial se deriva de la explotación del grupo de una amplia gama de vulnerabilidades relacionadas con la web y exfiltración de datos limitados. «Aunque Genesis Panda se dirige a una variedad de sistemas, muestran un interés constante en comprometer los sistemas alojados en la nube para aprovechar el plano de control de la nube para el movimiento lateral, la persistencia y la enumeración», dijo CrowdStrike. El adversario ha observado consultar «consistentemente» el servicio de metadatos de instancia (IMD) asociado con un servidor alojado en la nube para obtener credenciales para el plano de control de la nube y enumerar la red y las configuraciones generales de instancias. También se sabe que usa credenciales, probablemente obtenidas de máquinas virtuales comprometidas (VM), para excavar más profundamente en la cuenta de la nube del objetivo. Los hallazgos ilustran cómo los grupos de piratería chinos se están volviendo cada vez más expertos en romper y navegar en entornos de nubes, al tiempo que priorizan el sigilo y la persistencia para garantizar el acceso sostenido y la recolección de datos encubiertos. El sector de las telecomunicaciones del panda glacial, el sector de telecomunicaciones, por crowdstrike, ha sido testigo de un aumento del 130% en la actividad del estado-nación durante el año pasado, principalmente impulsado por el hecho de que son un tesoro de inteligencia. El último actor de amenaza para capacitar sus vistas en la vertical de la industria es un actor de amenaza china denominada panda glacial. La huella geográfica del grupo de piratería abarca Afganistán, Hong Kong, India, Japón, Kenia, Malasia, México, Panamá, Filipinas, Taiwán, Tailandia y Estados Unidos. «El panda glacial es muy probable que realice intrusiones específicas para fines de recolección de inteligencia, accediendo y exfiltrando registros de detalles de llamadas y telemetría de comunicaciones relacionadas de múltiples organizaciones de telecomunicaciones», dijo la compañía de seguridad cibernética. «El adversario se dirige principalmente a los sistemas Linux típicos en la industria de las telecomunicaciones, incluidas las distribuciones de sistemas operativos heredados que admiten tecnologías de telecomunicaciones más antiguas». Los candidatos a ataque implementados por el actor de amenazas utilizan vulnerabilidades de seguridad conocidas o contraseñas débiles dirigidas a servidores orientados a Internet y no administrados, con actividades de seguimiento que aprovechan los errores de escalada de privilegios como CVE-2016-5195 (también conocido como vaca sucia) y CVE-2021-4034 (aka PWNKIT). Además de confiar en las técnicas de vida de la tierra (LOTL), las intrusiones del panda glacial allanan el camino para el despliegue de componentes de OpenSsh Troyanizados, colectivamente con nombre en código SHIELDSLIDE, para reunir sesiones y credenciales de autenticación de usuarios. «El SSH Binary del servidor SSH-Trojanizado de SSH también proporciona acceso a puerta trasera, autenticando cualquier cuenta (incluida la raíz) cuando se ingresa una contraseña codificada», dijo CrowdStrike.