Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos chinos abusan de IPv6 SLAAC para ataques AITM a través de la herramienta de movimiento lateral de Spellbinder
  • Tecnología

Los piratas informáticos chinos abusan de IPv6 SLAAC para ataques AITM a través de la herramienta de movimiento lateral de Spellbinder

teknomers 30 de Nisan de 2025 (Last updated: 30 de Nisan de 2025) 4 minutes read
Los piratas informáticos chinos abusan de IPv6 SLAAC para ataques


30 de abril de 2025Ravie LakshmananSeguridad de malware / DNS

Un grupo avanzado de amenaza persistente (APT) alineada por China Thewizards se ha relacionado con una herramienta de movimiento lateral llamada SpellBinder que puede facilitar los ataques adversarios en el medio (AITM).

“SpellBinder habilita los ataques adversarios en el medio (AITM), a través de la dirección de la dirección de apátrate IPv6 (SLAAC) paropara moverse lateralmente en la red comprometida, interceptando paquetes y redirigiendo el tráfico del software chino legítimo para que descargue actualizaciones maliciosas de un servidor controlado por los atacantes “, el investigador de ESET FacUdoz Muñoz dicho En un informe compartido con The Hacker News.

El ataque allana el camino para un descargador malicioso que se entrega al secuestrar el mecanismo de actualización de software asociado con Sogou Pinyin. El descargador luego actúa como un conducto para soltar un modular puerta en el nombre en código Wizardnet.

Esta no es la primera vez que los actores de amenaza china han abusado del proceso de actualización de software de Sogou Pinyin para entregar su propio malware. En enero de 2024, ESET detalló un grupo de piratería conocido como Blackwood que ha implementado un implante llamado NSPX30 aprovechando el mecanismo de actualización de la aplicación de software de método de entrada chino.

Ciberseguridad

Luego, a principios de este año, la compañía de ciberseguridad eslovaco reveló otro clúster de amenazas conocido como Plushdaemon que aprovechó la misma técnica para distribuir un descargador personalizado llamado Littledaemon.

Se sabe que TheWizards APT se dirige tanto a los individuos como a los sectores de juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.

La evidencia sugiere que el actor de amenazas ha utilizado la herramienta SpellBinder IPv6 AITM desde al menos 2022. Si bien el vector de acceso inicial exacto utilizado en los ataques es desconocido en esta etapa, el acceso exitoso es seguido por la entrega de un archivo ZIP que contiene cuatro archivos diferentes: avgapplicationframehost.exe, wsc.dll, log.dat y winpcap.xe.

Los actores de la amenaza luego proceden a instalar “WinPCap.exe” y ejecutar “AvgapplicationFrameHost.exe”, este último se abusa de resaltar la DLL. El archivo DLL posteriormente lee ShellCode de “Log.Dat” y lo ejecuta en la memoria, lo que hace que SpellBinder se inicie en el proceso.

“Spellbinder usa el Biblioteca WinPCAP to capture packets and to reply to packets when needed,” Muñoz explained. “It takes advantage of IPv6’s Network Discovery Protocol in which ICMPv6 Router Advertisement (RA) messages advertise that an IPv6-capable router is present in the network so that hosts that support IPv6, or are soliciting an IPv6-capable router, can adopt the advertising device as their default gateway.”

En un caso de ataque observado en 2024, se dice que los actores de amenaza utilizaron este método para secuestrar el proceso de actualización de software para Tencent QQ a nivel DNS para servir una versión troyana que luego implementa WizardNet, una puerta trasera modular que está equipada para recibir y ejecutar cargas de pago .NET en el host infectado.

SpellBinder logra interceptando la consulta DNS para el dominio de actualización de software (“update.browser.qq[.]com “) y emitir una respuesta DNS con la dirección IP de un servidor controlado por el atacante (” 43.155.62[.]54 “) Hosting la actualización maliciosa.

Ciberseguridad

Otra herramienta notable en el Arsenal de TheWizards es Darknights, que también se llama Darknimbus por Trend Micro y se ha atribuido a otro grupo de piratería chino rastreado como Minotauro de la Tierra. Dicho esto, ambos grupos están siendo tratados como operadores independientes, citando diferencias en las herramientas, la infraestructura y las huellas de focalización.

Lo ha hecho desde surgido Que un contratista del Ministerio de Seguridad Pública china llamado Sichuan Dianke Network Security Technology Co., Ltd. (también conocido como UPSEC) es el proveedor del malware Darknimbus.

“Si bien TheWizards usa una puerta trasera diferente para Windows (WizardNet), el servidor de secuestro está configurado para servir a Darknights para actualizar aplicaciones que se ejecutan en dispositivos Android”, dijo Muñoz. “Esto indica que Dianke Network Security es un intendente digital para TheWizards Apt Group”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: 27 cosas elegantes de Nordstrom Rack que querrás usar varias veces a la semana
Next: Al menos 24 personas holandesas trabajaron en Auschwitz: "¿Cómo le dices eso a los familiares?"

Related Stories

Meta AI: alerta parental si un adolescente habla de suicidio
  • Tecnología

Meta AI: alerta parental si un adolescente habla de suicidio

teknomers 16 de Temmuz de 2026
Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida
  • Tecnología

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida durante más de diez años

teknomers 16 de Temmuz de 2026
Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla
  • Tecnología

Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla

teknomers 16 de Temmuz de 2026

You May Have Missed

  • Deporte

Campeonato Abierto 2026: Robert MacIntyre dice que la primera ronda fue exactamente lo que quería

teknomers 16 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio chino del día: “El mejor espejo es… — Lecciones de vida sobre la amistad, la honestidad, la inteligencia emocional, la confianza y por qué la verdad puede doler, pero ayuda.

teknomers 16 de Temmuz de 2026
Argentina acusa a un buque de guerra británico de intrusión
  • General

Argentina acusa a un buque de guerra británico de intrusión en sus aguas territoriales tras su victoria en la Copa del Mundo.

teknomers 16 de Temmuz de 2026
  • Finanzas

«Cerca de un cuarto de electricidad consumida de más»: la red eléctrica puesta a prueba por los picos de calor

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.