Un grupo de actividades de amenaza conocido como Shadowsilk se ha atribuido a un nuevo conjunto de ataques dirigidos a entidades gubernamentales dentro de Asia Central y Asia-Pacífico (APAC). Según el grupo-IB, se han identificado casi tres docenas de víctimas, con las intrusiones principalmente orientadas a la exfiltración de datos. El grupo de piratería comparte el conjunto de herramientas y las superposiciones de infraestructura con campañas realizadas por los actores de amenaza denominados Yorotrooper, Sturgeonphisher y Silent Lynx. Las víctimas de las campañas del grupo abarcan Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán, la mayoría de las cuales son organizaciones gubernamentales y, en menor medida, entidades en los sectores de energía, fabricación, venta minorista y transporte. «La operación es realizada por una tripulación bilingüe: desarrolladores de habla rusa vinculada al código de Yorotrooper heredado y a los operadores de habla china que encabezan intrusiones, lo que resulta en un perfil de amenaza multirregional ágil y ágil», dijeron los investigadores Nikita Rostovcev y Sergei Turner. «La profundidad exacta y la naturaleza de la cooperación de estos dos subgrupos siguen siendo inciertos». Yorotrooper fue documentado públicamente por primera vez por Cisco Talos en marzo de 2023, detallando sus ataques dirigidos al gobierno, la energía y las organizaciones internacionales en toda Europa desde al menos junio de 2022. Se cree que el grupo está activo hasta 2021, según ESET. Un análisis posterior más tarde ese año reveló que el grupo de piratería probablemente consiste en individuos de Kazajstán en función de su fluidez en Kazajustes y Rusios, así como lo que parecía ser esfuerzos deliberados para evitar las entidades dirigidas en el país. Luego, a principios de enero, los laboratorios de Seqrite descubrieron ataques cibernéticos orquestados por un adversario llamado Lynx silencioso que destacó varias organizaciones en Kirguistán y Turkmenistán. También caracterizó al actor de amenaza como superpuestas con Yorotrooper. Shadowsilk representa la última evolución del actor de amenazas, aprovechando los correos electrónicos de phishing de lanza como el vector de acceso inicial para eliminar los archivos protegidos con contraseña para soltar un cargador personalizado que oculta el tráfico de comando y control (C2) detrás de los bots de telegrama para evadir la detección y entregar cargas útiles adicionales. La persistencia se logra modificando el registro de Windows para ejecutarlos automáticamente después de un reinicio del sistema. The threat actor also employs public exploits for Drupal (CVE-2018-7600 and CVE-2018-76020 and the WP-Automatic WordPress plugin (CVE-2024-27956), alongside leveraging a diverse toolkit comprising reconnaissance and penetration-testing tools such as FOFA, Fscan, Gobuster, Dirsearch, Metasploit, and Además. [like ANTSWORD, Behinder, Godzilla, and FinalShell]Las herramientas posteriores a la explotación basadas en agudas y las utilidades de túnel como el resalto y el cincel para moverse lateralmente, aumentar los privilegios y los datos de sifón «, dijeron los investigadores. Se han observado que los ataques pavimentan el camino para que una actividad de acceso remoto basado en Python (rata) pueda recibir comandos y exfiltrados datos a un telegrama, que permiten que el tráfico malicioso a la maliciosa tráfico a la maliciosa de tráfico a la maliciosa de seres se desguee. Los módulos de Cobalt Strike y MetaSploit se utilizan para obtener capturas de pantalla y imágenes de la cámara web, mientras que un script de PowerShell personalizado para los archivos que coinciden con una lista predefinida de extensiones y las copia en un archivo zip, que luego se transmite a un servidor externo de un servidor externo y se ha asaltado el acceso inicial. De las capturas de pantalla que capturan una de las estaciones de trabajo de los atacantes, con imágenes del diseño de teclado activo, la traducción automática de los sitios web del gobierno de Kirguistán en los chinos, y un escáner de vulnerabilidad de idioma chino, indica la participación de un operador de habla china, el comportamiento reciente indica que el grupo es activo, con los nuevos víctimas identificados recientemente como julio «. Asia y la región APAC más amplia, subrayando la importancia de monitorear su infraestructura para evitar el compromiso a largo plazo y la exfiltración de datos «.