Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los atacantes vinculados a los chinos explotan la falla de punto de control para implementar el pinchazo y el ransomware
  • Tecnología

Los atacantes vinculados a los chinos explotan la falla de punto de control para implementar el pinchazo y el ransomware

teknomers 20 de Şubat de 2025 (Last updated: 20 de Şubat de 2025) 4 minutes read
Los atacantes vinculados a los chinos explotan la falla de


20 de febrero de 2025Ravie LakshmananRansomware / vulnerabilidad

Un clúster de actividad de amenazas previamente desconocido dirigió a las organizaciones europeas, particularmente aquellas en el sector de la salud, para implementar a Plugx y su sucesor, ShadowPad, con las intrusiones que finalmente conducen al despliegue de un ransomware llamado Nailaolocker en algunos casos.

La campaña, con nombre en código Green Nailao de Orange CyberDefense Cert, implicó la explotación de una falla de seguridad nueva en Check Point Network Gateway Products (CVE-2024-24919, puntaje CVSS: 7.5). Los ataques se observaron entre junio y octubre de 2024.

“La campaña se basó en el secuestro de orden de búsqueda de DLL para implementar ShadowPad y Plugx: dos implantes a menudo asociados con las intrusiones dirigidas por China-Nexus”, la compañía dicho En un informe técnico compartido con Hacker News.

Ciberseguridad

Se dice que el acceso inicial brindado por la explotación de instancias de punto de control vulnerables permitió a los actores de amenaza recuperar las credenciales de los usuarios y conectarse a la VPN utilizando una cuenta legítima.

En la siguiente etapa, los atacantes llevaron a cabo el reconocimiento de la red y el movimiento lateral a través del Protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecución de un binario legítimo (“Logger.exe”) para acertar una dll deshilachada (“Logexts.dll” ) que luego sirve como cargador para una nueva versión del malware ShadowPad.

Se ha encontrado que las iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan la artesanía similar para entregar a Plugx, que también emplea la carga lateral de DLL utilizando un ejecutable de McAfee (“mcoemcpy.exe”) a Sideload “mcutil.dll”.

Al igual que Plugx, ShadowPad es un malware vendido privado que es utilizado exclusivamente por los actores de espionaje chinos desde al menos 2015. La variante identificada por Orange CyberDefense CERT presenta una ofuscación sofisticada y medidas anti-debug, junto con la comunicación con un servidor remoto para crear acceso remoto persistente a un acceso remoto a la persistente a Sistemas de víctimas.

Hay evidencia que sugiere que los actores de amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos zip. Las intrusiones culminan con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable legítimo firmado por Beijing Huorong Network Technology Co., Ltd (“usysdiag.exe”), un cargador llamado Nailaoloader (“Sensapi.dll”) , y Nailaolocker (“usysdiag.exe.dat”).

Una vez más, el archivo DLL se acompaña a través de “usysdiag.exe” para descifrar y activar la ejecución de Nailaolocker, un ransomware basado en C ++ que encripta los archivos, los agrega con una extensión “. Para realizar un pago de bitcoin o contactarlos en una dirección de correo de protones.

“Nailaolocker es relativamente poco sofisticado y mal diseñado, aparentemente no tiene la intención de garantizar el cifrado completo”, dijeron los investigadores Marine Pichon y Alexis Bonnefoi.

“No escanea las acciones de la red, no detiene los servicios o procesos que podrían evitar el cifrado de ciertos archivos importantes, [and] No controla si se está depurando “.

Orange ha atribuido la actividad con confianza media a un actor de amenaza alineado en chino debido al uso del implante de shadowpad, el uso de técnicas de carga lateral de DLL y el hecho de que se han atribuido esquemas de ransomware similares a otro grupo de amenazas chino denominado Luz de las estrellas.

Ciberseguridad

Además, el uso de “usysdiag.exe” a las cargas útiles de la próxima etapa se ha observado previamente en ataques montados por un conjunto de intrusiones vinculado a China rastreado por Sophos bajo el nombre de clúster Alpha (también conocido como STAC1248).

Si bien los objetivos exactos de la campaña de espionaje-cum-ransomware no están claros, se sospecha que los actores de amenaza buscan obtener ganancias rápidas.

“Esto podría ayudar a explicar el contraste de sofisticación entre Shadowpad y Nailaolocker, con Nailaolocker a veces incluso intentando imitar las técnicas de carga de Shadowpad”, dijeron los investigadores. “Si bien tales campañas a veces se pueden realizar de manera oportunista, a menudo permiten a los grupos de amenazas acceder a sistemas de información que se pueden utilizar más tarde para llevar a cabo otras operaciones ofensivas”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Kuss-Klat en la Copa Mundial: el líder de la asociación Luis Rubiales es castigado
Next: Forever 21 debería cerrar 200 negocios en el transcurso de una segunda bancarrota

Related Stories

Para evitar los impuestos de Trump, Apple destina 30 mil
  • Tecnología

Para evitar los impuestos de Trump, Apple destina 30 mil millones de dólares a chips “Made in USA”

teknomers 9 de Temmuz de 2026
Samsung y Google quieren adelantarse al iPhone Fold este verano
  • Tecnología

Samsung y Google quieren adelantarse al iPhone Fold este verano

teknomers 9 de Temmuz de 2026
La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11
  • Tecnología

La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11 botones está rebajada al -50% durante las Rebajas.

teknomers 8 de Temmuz de 2026

You May Have Missed

  • Deporte

Campeonato de Naciones: Kane James en la lista para su debut con Gales contra Argentina

teknomers 9 de Temmuz de 2026
  • General

JD Vance emite una dura advertencia a Irán: ‘Dejen de atacar barcos o enfrentarán una respuesta más contundente de EE. UU.’ – Teknomers

teknomers 9 de Temmuz de 2026
  • General

Estados Unidos: acusado de violación, un candidato demócrata se retira en un estado clave para el control del Senado

teknomers 9 de Temmuz de 2026
«Jugar este partido con el cuchillo entre los dientes»: el
  • Deporte

«Jugar este partido con el cuchillo entre los dientes»: el seleccionador de Marruecos marca la pauta antes del cuarto contra Francia

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.