Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El grupo chino de piratas informáticos Earth Longzhi resurge con tácticas avanzadas de malware
  • Tecnología

El grupo chino de piratas informáticos Earth Longzhi resurge con tácticas avanzadas de malware

teknomers 3 de Mayıs de 2023 (Last updated: 3 de Mayıs de 2023) 4 minutes read
El grupo chino de piratas informáticos Earth Longzhi resurge con


03 de mayo de 2023Ravie LakshmanánCiberespionaje / Malware

Un equipo de piratería patrocinado por el estado chino ha resurgido con una nueva campaña dirigida a entidades gubernamentales, de salud, tecnología y fabricación con sede en Taiwán, Tailandia, Filipinas y Fiji después de más de seis meses sin actividad.

Tendencia Micro atribuido la intrusión establecida en un grupo de ciberespionaje que rastrea bajo el nombre Tierra Longzhique es un subgrupo dentro de APT41 (también conocido como HOODOO o Winnti) y comparte superposiciones con varios otros clústeres conocidos como Earth Baku, SparklingGoblin y GroupCC.

Earth Longzhi fue documentado por primera vez por la firma de ciberseguridad en noviembre de 2022, detallando sus ataques contra varias organizaciones ubicadas en el este y sureste de Asia, así como en Ucrania.

Las cadenas de ataque montadas por el actor de amenazas aprovechan las aplicaciones públicas vulnerables como puntos de entrada para implementar el shell web BEHINDER y luego aprovechan ese acceso para soltar cargas útiles adicionales, incluida una nueva variante de un cargador Cobalt Strike llamado CroxLoader.

La seguridad cibernética

“Esta reciente campaña […] abusa de un ejecutable de Windows Defender para realizar la carga lateral de DLL al mismo tiempo que explota un controlador vulnerable, zamguard.sys, para deshabilitar los productos de seguridad instalados en los hosts a través de un ataque BYOVD (traiga su propio controlador vulnerable), dijo Trend Micro.

De ninguna manera es la primera vez que Earth Longzhi aprovecha la técnica BYOVD, ya que las campañas anteriores utilizaron el controlador RTCore64.sys vulnerable para restringir la ejecución de productos de seguridad.

El malware, denominado SPHijacker, también emplea un segundo método denominado “retumbo de pila” para lograr el mismo objetivo, que implica realizar cambios en el registro de Windows para interrumpir el flujo de ejecución del proceso y provocar deliberadamente que las aplicaciones de destino se bloqueen al iniciarse.

“Esta técnica es un tipo de [denial-of-service] ataque que abusa de los valores de MinimumStackCommitInBytes no documentados en el [Image File Execution Options] clave de registro”, explicó Trend Micro.

Grupo de hackers chinos

“El valor de MinimalStackCommitInBytes asociado con un proceso específico en la clave de registro de IFEO se usará para definir el tamaño mínimo de la pila para confirmar al inicializar el subproceso principal. Si el tamaño de la pila es demasiado grande, activará una excepción de desbordamiento de la pila y terminará el proceso actual”.

Los enfoques gemelos están lejos de ser los únicos métodos que se pueden utilizar para perjudicar los productos de seguridad. Deep Instinct, el mes pasado, detalló una nueva técnica de inyección de código bautizada vanidad sucia que explota el mecanismo de bifurcación remota en Windows para sistemas de detección de puntos finales ciegos.

Además, la carga útil del controlador se instala como un servicio de nivel de kernel mediante la llamada de procedimiento remoto de Microsoft (RPC) a diferencia de las API de Windows para evadir la detección.

PRÓXIMO SEMINARIO WEB

Aprenda a detener el ransomware con protección en tiempo real

Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.

Guardar mi asiento!

También se observa en los ataques el uso de un cuentagotas basado en DLL llamado Roxwrapper para entregar otro cargador Cobalt Strike etiquetado como BigpipeLoader, así como una herramienta de escalada de privilegios (dwm.exe) que abusa de Windows. Programador de tareas para lanzar una carga útil determinada con privilegios de SISTEMA.

La carga útil especificada, dllhost.exe, es un programa de descarga capaz de recuperar malware de próxima etapa de un servidor controlado por un actor.

Vale la pena señalar aquí que dwm.exe se basa en una prueba de concepto (PoC) de código abierto disponible en GitHublo que sugiere que el actor de amenazas se está inspirando en los programas existentes para perfeccionar su arsenal de malware.

Trend Micro dijo además que identificó documentos señuelo escritos en vietnamita e indonesio, lo que indica posibles intentos de dirigirse a usuarios en los dos países en el futuro.

“Earth Longzhi permanece activo y continúa mejorando sus tácticas, técnicas y procedimientos (TTP)”, señalaron los investigadores de seguridad Ted Lee y Hara Hiroaki. “Las organizaciones deben mantenerse alerta contra el desarrollo continuo de nuevos esquemas sigilosos por parte de los ciberdelincuentes”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Kevin Costner se separa de su esposa después de 18 años
Next: Las ferias de moda CIFF y Revolver se celebrarán bajo un mismo techo por primera vez este verano

Related Stories

Seguridad, IA, soberanía: lo que más de 50 actores de
  • Tecnología

Seguridad, IA, soberanía: lo que más de 50 actores de la tecnología nos han revelado sobre el futuro de Europa

teknomers 5 de Temmuz de 2026
Variedad en Nova Lake-S: Intel propondría chips de 22, 24
  • Tecnología

Variedad en Nova Lake-S: Intel propondría chips de 22, 24 y 28 núcleos a 65 y 125 W de TDP, con bLLC

teknomers 5 de Temmuz de 2026
Intel confirma un aumento de precio en sus procesadores Core
  • Tecnología

Intel confirma un aumento de precio en sus procesadores Core Ultra 7 270K y Ultra 5 250K

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Cultura

« Es como si la gente se hubiera desvanecido »: en Étampes, el urbex se expone en formato fotográfico

teknomers 5 de Temmuz de 2026
Seguridad, IA, soberanía: lo que más de 50 actores de
  • Tecnología

Seguridad, IA, soberanía: lo que más de 50 actores de la tecnología nos han revelado sobre el futuro de Europa

teknomers 5 de Temmuz de 2026
Horóscopo del verano 2026: Géminis, descubre lo que los astros
  • salud

Horóscopo del verano 2026: Géminis, descubre lo que los astros te tienen preparado este año

teknomers 5 de Temmuz de 2026
En Marsella, un incendio afecta a dos barcos en el
  • Entretenimiento

En Marsella, un incendio afecta a dos barcos en el Vieux-Port, 14 heridos atendidos por los bomberos

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.