Aug 25, 2025Ravie Lakshmananmalware / Cyber ​​Espionage Un actor de amenaza de China-Nexus conocido como UNC6384 se ha atribuido a un conjunto de ataques dirigidos a diplomáticos en el sudeste asiático y otras entidades de todo el mundo para avanzar en los intereses estratégicos de Beijing. «Esta cadena de ataque de varias etapas aprovecha la ingeniería social avanzada, incluidos los certificados de firma de código válidos, un ataque adversario en el medio (AITM) y las técnicas de ejecución indirecta para evadir la detección», dijo el investigador de Google Amenazing Intelligence Group (GTIG) Patrick Whitsell. UNC6384 se evalúa para compartir superposiciones tácticas y de herramientas con un grupo de piratería chino conocido llamado Mustang Panda, que también se rastrea como cuenca, presidente de bronce, dragón de Camaro, preta de la tierra, honeymyte, reddelta, lich rojo, estadía taurus, temp.hex y typhoon timilos. La campaña, detectada por GTIG en marzo de 2025, se caracteriza por el uso de una redirección de portal cautivo para secuestrar el tráfico web y entregar un descargador firmado digitalmente llamado StaticPlugin. El descargador luego allana el camino para la implementación en memoria de una variante plugx (también conocida como KorPlug o Sogu) llamada Sogu.Sec. Plugx es una puerta trasera que admite comandos para exfiltrar archivos, registrar las teclas de teclas, iniciar un shell de comando remoto, cargar/descargar archivos, y puede extender su funcionalidad con complementos adicionales. A menudo se lanza a través de la carga lateral de DLL, el implante se extiende a través de unidades flash USB, correos electrónicos de phishing dirigidos que contienen archivos adjuntos o enlaces maliciosos, o descargas de software comprometidas. El malware ha existido desde al menos 2008 y es ampliamente utilizado por grupos de piratería chinos. Se cree que ShadowPad es el sucesor de Plugx. La cadena de ataque de UNC6384 es bastante sencilla en que las tácticas adversas en el medio (AITM) y la ingeniería social se utilizan para entregar el malware Tugx: las pruebas del navegador web del objetivo si la conexión a Internet está detrás de un portal cautivo que un AITM redirige el navegador a un nave[.]com «staticplugin recupera un paquete MSI del mismo sitio web que CanonStager está cargada de DLL e implementa la puerta trasera Sogu.Sec en la memoria El Hijack de Portal Captive se utiliza para entregar malware disfrazado de una actualización de complementos de Adobe a las entidades dirigidas. En el navegador de cromo, el portal de la cromo, la funcionalidad Captive se logra mediante una solicitud de una solicitud de hardos («.[.]com/generate_204 «) que redirige a los usuarios a una página de inicio de sesión de Wi-Fi. Mientras» Gstatic[.]com «es un dominio legítimo de Google utilizado para almacenar el código JavaScript, las imágenes y las hojas de estilo como una forma de mejorar el rendimiento, Google dijo que los actores de amenazas probablemente llevan a cabo un ataque de AITM para imitar las cadenas de redirección de la página del portal cautivo a la página web de desembarco del actor de la amenaza. Etapa. (también conocido como StaticPlugin) que, cuando se lanza, desencadena la carga útil Sogu.Sec en el fondo utilizando una DLL referida como CanonStager («CNMPaui.dll») que está acelerando usando la herramienta Canon IJ Assistant («CNMPaui.exe»). El certificado emitido por Globalsign. Actores, «Dijo Whitsell.» El uso de técnicas avanzadas como AITM combinada con firma de código válida e ingeniería social en capas demuestra las capacidades de esta amenaza del actor «.