Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Earth Alux unida a China usa Vargeit y Cobeacon en intrusiones cibernéticas de varias etapas
  • Tecnología

Earth Alux unida a China usa Vargeit y Cobeacon en intrusiones cibernéticas de varias etapas

teknomers 2 de Nisan de 2025 (Last updated: 2 de Nisan de 2025) 5 minutes read
Earth Alux unida a China usa Vargeit y Cobeacon en


Los investigadores de ciberseguridad han arrojado luz sobre un nuevo actor de amenaza vinculada a China Tierra alux Eso ha apuntado a varios sectores clave como el gobierno, la tecnología, la logística, la fabricación, las telecomunicaciones, los servicios de TI y el comercio minorista en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM).

“El primer avistamiento de su actividad fue en el segundo trimestre de 2023; en aquel entonces, se observó predominantemente en la región de APAC”, los investigadores de la tendencia Lenart Bermejo, Ted Lee y Theo Chen dicho En un informe técnico publicado el lunes. “A mediados de 2024, también fue visto en América Latina”.

Los objetivos principales de los países del tramo colectivo adversario como Tailandia, Filipinas, Malasia, Taiwán y Brasil.

Las cadenas de infección comienzan con la explotación de servicios vulnerables en aplicaciones web expuestas a Internet, utilizándolas para soltar el shell web de Godzilla para facilitar el despliegue de cargas útiles adicionales, incluidas las puertas traseras denominadas Vargeit y Cobeacon (también conocido como Cobalt Strike Beacon).

Ciberseguridad

Vargeit ofrece la capacidad de cargar herramientas directamente desde su servidor de comando y control (C&C) a un proceso recientemente generado de Microsoft Paint (“msPaint.exe”) para facilitar el reconocimiento, la recolección y la exfiltración.

“Vargeit es también el método principal a través del cual Earth Alux opera herramientas suplementarias para diversas tareas, como el movimiento lateral y el descubrimiento de redes de manera sin archivo”, dijeron los investigadores.

Un punto que vale la pena mencionar aquí es que, si bien Vargeit se usa como una puerta trasera primera, segunda o etapa posterior, Cobeacon se emplea como puerta trasera en la primera etapa. Este último se lanza mediante un cargador denominado maskloader, o mediante rsbinject, un cargador de shell -code de línea de comandos basado en óxido.

También se han observado iteraciones posteriores de MASQLoader implementando una técnica de enganche anti-API que sobrescribe cualquier gancho de NTDLL.DLL insertado por programas de seguridad para detectar procesos sospechosos que se ejecutan en Windows, lo que permite que el malware y la carga de pago integrado vuelan bajo el radar.

La ejecución de VargeIT da como resultado la implementación de más herramientas, incluido un componente de cargador con nombre en código Railload que se ejecuta utilizando una técnica conocida como carga lateral de DLL, y se utiliza para ejecutar una carga útil cifrada ubicada en una carpeta diferente.

La segunda carga útil es una persistencia y timborming El módulo se conoce como RailSetter que altera las marcas de tiempo asociadas con los artefactos de Railload en el host comprometido, junto con la creación de una tarea programada para lanzar Railload.

Vargeit y la interacción del controlador

“MasqLoader también está siendo utilizado por otros grupos además de la Tierra Alux”, dijo Trend Micro. “Además, la diferencia en la estructura del código de MasqLoader en comparación con otras herramientas como Railsetter y Railload sugiere que el desarrollo de MasqLoader está separado de esos conjuntos de herramientas”.

El aspecto más distintivo de Vargeit es su capacidad para admitir 10 canales diferentes para las comunicaciones C&C a través de HTTP, TCP, UDP, ICMP, DNS y Microsoft Outlook, la última de las cuales aprovecha la API de gráficos para intercambiar comandos en un formato predeterminado utilizando la carpeta de borradores de un cilbebro de turbo atacante.

Ciberseguridad

Específicamente, el mensaje del servidor C&C se prepara con R_, mientras que los de la puerta trasera están prefijadas con P_. Entre su amplia gama de funciones se encuentra la extensa recopilación de datos y la ejecución de comandos, lo que lo convierte en un potente malware en el arsenal del actor de amenaza.

“Earth Alux realiza varias pruebas con Railload y Railsetter”, dijo Trend Micro. “Estos incluyen pruebas de detección e intentos de encontrar nuevos hosts para la carga lateral de DLL. Las pruebas de carga lateral de DLL involucran a ZeroEye, una herramienta de código abierto popular dentro de la comunidad de habla china, para escanear las tablas de importación de archivos EXE para DLL importadas que se pueden abusar de la carga lateral”.

También se ha encontrado que el grupo de piratería utiliza Virtest, otra herramienta de prueba ampliamente utilizada por la comunidad de habla china, para garantizar que sus herramientas sean lo suficientemente sigilosas como para mantener el acceso a largo plazo a los entornos objetivo.

“Earth Alux representa una amenaza sofisticada y en evolución del ciberiopionaje, aprovechando un juego de herramientas diverso y técnicas avanzadas para infiltrarse y comprometer una variedad de sectores, particularmente en la región de APAC y América Latina”, concluyeron los investigadores. “Las pruebas continuas del grupo de sus herramientas indican además un compromiso de refinar sus capacidades y evadir la detección”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: 💥 ¡Se tomó Super Lotto! | Resultados de Super Lotto – Pantalla de investigación de Super Lotto Martes 1 de abril de 2025
Next: Fuerte para el comercio minorista: Curso IHK en Zweibrücken Fashion Outlet completado con éxito

Related Stories

La DGA apuesta por Greenerwave y Eutelsat para mejorar la
  • Tecnología

La DGA apuesta por Greenerwave y Eutelsat para mejorar la conexión de las fuerzas armadas francesas desde el espacio

teknomers 5 de Temmuz de 2026
Badge de telepeaje Fulli gratis + 12 meses de suscripción
  • Tecnología

Badge de telepeaje Fulli gratis + 12 meses de suscripción gratis: la opción sin costos antes del verano

teknomers 5 de Temmuz de 2026
Con un -42 %, los Nothing Ear (a) se convierten
  • Tecnología

Con un -42 %, los Nothing Ear (a) se convierten en una de las mejores ofertas de audio de las rebajas

teknomers 4 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: ‘Indignante’ y ‘vergonzoso’ – Francia sobrevive a las artimañas de Paraguay

teknomers 5 de Temmuz de 2026
Paraguay-Francia: « Si fue un gran guardián, este hombre ha
  • Deporte

Paraguay-Francia: « Si fue un gran guardián, este hombre ha caído hoy », Philippe Diallo condena las declaraciones de Chilavert

teknomers 5 de Temmuz de 2026
  • Cultura

26 acuarios y 400 nuevas especies: Océanopolis reabre su pabellón tropical en Brest

teknomers 5 de Temmuz de 2026
La DGA apuesta por Greenerwave y Eutelsat para mejorar la
  • Tecnología

La DGA apuesta por Greenerwave y Eutelsat para mejorar la conexión de las fuerzas armadas francesas desde el espacio

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.