Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Investigadores desenmascaran el vínculo oculto de Sandman APT con la puerta trasera KEYPLUG con sede en China
  • Tecnología

Investigadores desenmascaran el vínculo oculto de Sandman APT con la puerta trasera KEYPLUG con sede en China

teknomers 11 de Aralık de 2023 (Last updated: 11 de Aralık de 2023) 4 minutes read
Investigadores desenmascaran el vínculo oculto de Sandman APT con la


11 de diciembre de 2023Sala de redacciónInteligencia de amenazas/ataque cibernético

Se han descubierto superposiciones tácticas y de objetivos entre la enigmática amenaza persistente avanzada (APT) llamada hombre de arena y un grupo de amenazas con sede en China que se sabe que utiliza una puerta trasera conocida como KEYPLUG.

La evaluación proviene conjuntamente de SentinelOne, PwC y el equipo de Microsoft Threat Intelligence basándose en el hecho de que se ha determinado que el malware basado en Lua del adversario, LuaDream y KEYPLUG, cohabitan “en las mismas redes de víctimas”.

Microsoft y PwC están rastreando la actividad bajo los nombres Storm-0866 y Red Dev 40, respectivamente.

“Sandman y Storm-0866/Red Dev 40 comparten prácticas de gestión y control de infraestructura, incluidas selecciones de proveedores de alojamiento y convenciones de nombres de dominio, las empresas dicho en un informe compartido con The Hacker News.

“La implementación de LuaDream y KEYPLUG revela indicadores de prácticas de desarrollo compartidas y superposiciones en funcionalidades y diseño, lo que sugiere requisitos funcionales compartidos por sus operadores”.

PRÓXIMO SEMINARIO WEB

Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana

¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.

Únete ahora

Sandman fue expuesto por primera vez por SentinelOne en septiembre de 2023, detallando sus ataques a proveedores de telecomunicaciones en Medio Oriente, Europa occidental y el sur de Asia utilizando un novedoso implante con nombre en código LuaDream. Las intrusiones se registraron en agosto de 2023.

Storm-0866/Red Dev 40, por otro lado, se refiere a un grupo APT emergente que destaca principalmente entidades en el Medio Oriente y el subcontinente del sur de Asia, incluidos proveedores de telecomunicaciones y entidades gubernamentales.

Una de las herramientas clave en el arsenal de Storm-0866 es KEYPLUG, una puerta trasera que fue revelada por primera vez por Mandiant, propiedad de Google, como parte de los ataques organizados por el actor APT41 (también conocido como Brass Typhoon o Barium) con sede en China para infiltrarse en seis redes gubernamentales estatales de EE. UU. entre mayo de 2021 y febrero de 2022.

En un informe publicado a principios de marzo, Recorded Future atribuyó el uso de KEYPLUG a un grupo de actividad de amenazas patrocinado por el estado chino que está rastreando como RedGolf, que, según dijo, “se superpone estrechamente con la actividad de amenazas reportada bajo los alias de APT41/BARIUM”.

“Un examen minucioso de la implementación y la infraestructura C2 de estas distintas cepas de malware reveló indicadores de desarrollo compartido, así como prácticas de gestión y control de infraestructura, y algunas superposiciones en funcionalidades y diseño, lo que sugiere requisitos funcionales compartidos por sus operadores”, señalaron las empresas. .

Una de las superposiciones notables son dos dominios LuaDream C2 llamados “dan.det-ploshadka[.]com” y “ssl.e-novauto[.]com”, que también se ha utilizado como servidor KEYPLUG C2 y que se ha vinculado a Storm-0866.

Otro punto en común interesante entre LuaDream y KEYPLUG es que ambos implantes admiten protocolos QUIC y WebSocket para comunicaciones C2, lo que indica requisitos comunes y la probable presencia de un intendente digital detrás de la coordinación.

La seguridad cibernética

“El orden en el que LuaDream y KEYPLUG evalúan el protocolo configurado entre HTTP, TCP, WebSocket y QUIC es el mismo: HTTP, TCP, WebSocket y QUIC en ese orden”, dijeron los investigadores. “Los flujos de ejecución de alto nivel de LuaDream y KEYPLUG son muy similares”.

La adopción de Lua es otra señal de que los actores de amenazas, tanto alineados con el Estado-nación como centrados en el cibercrimen, están poniendo cada vez más sus miras en lenguajes de programación poco comunes como DLang y nim para evadir la detección y persistir en los entornos de las víctimas durante largos períodos de tiempo.

El malware basado en Lua, en particular, se ha detectado sólo un puñado de veces en la última década. Esto incluye Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.

“Existen fuertes superposiciones en la infraestructura operativa, los objetivos y los TTP que asocian el Sandman APT con adversarios con sede en China que utilizan la puerta trasera KEYPLUG, STORM-0866/Red Dev 40 en particular”, dijeron los investigadores. “Esto pone de relieve la compleja naturaleza del panorama de amenazas chino”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La despedida Kari Jalonen rompe el silencio
Next: 10 correctores de farmacia que cubren las ojeras y las ojeras. Manchas de la máscara

Related Stories

Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA
  • Tecnología

Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA 3D tiene un descuento de -200€

teknomers 11 de Temmuz de 2026
Apple dominará ampliamente el mercado de los relojes inteligentes IA
  • Tecnología

Apple dominará ampliamente el mercado de los relojes inteligentes IA en 2026

teknomers 11 de Temmuz de 2026
Una falsa herramienta de análisis DNS propaga un malware a
  • Tecnología

Una falsa herramienta de análisis DNS propaga un malware a través de 222 repositorios de GitHub

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Doble sismo en Venezuela: la catástrofe ha dejado más de 4,300 muertos, según un nuevo balance

teknomers 11 de Temmuz de 2026
  • General

Por qué las personas siempre usan chaquetas: La psicología dice que quienes siempre llevan chaqueta no intentan ocultar algo, simplemente quieren sentir la calidez y comodidad familiar.

teknomers 11 de Temmuz de 2026
Argentina-Suiza: ¿a qué hora y en qué canal de TV
  • Deporte

Argentina-Suiza: ¿a qué hora y en qué canal de TV ver el cuarto de la Copa del Mundo con Messi?

teknomers 11 de Temmuz de 2026
  • Cultura

«Qué ambiente de locos»: en los Francofolies, Gims pone de acuerdo a todos.

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.