Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos chinos utilizan el contrabando de HTML para infiltrarse en los ministerios europeos con PlugX
  • Tecnología

Los piratas informáticos chinos utilizan el contrabando de HTML para infiltrarse en los ministerios europeos con PlugX

teknomers 3 de Temmuz de 2023 (Last updated: 3 de Temmuz de 2023) 4 minutes read
Los piratas informáticos chinos utilizan el contrabando de HTML para


03 de julio de 2023Ravie LakshmanánAtaque de Malware / Ciberespionaje

Se ha observado que un grupo de estado-nación chino apunta a los ministerios de Relaciones Exteriores y las embajadas en Europa utilizando técnicas de contrabando de HTML para entregar el troyano de acceso remoto PlugX en sistemas comprometidos.

La firma de seguridad cibernética Check Point dijo que la actividad, denominada engreídoXha estado en curso desde al menos diciembre de 2022.

“La campaña utiliza nuevos métodos de entrega para implementar (en particular, el contrabando de HTML) una nueva variante de PlugX, un implante comúnmente asociado con una amplia variedad de actores de amenazas chinos”, Check Point dicho.

“Aunque la carga útil en sí sigue siendo similar a la que se encuentra en las variantes anteriores de PlugX, sus métodos de entrega dan como resultado bajas tasas de detección, lo que hasta hace poco ayudó a que la campaña pasara desapercibida”.

La identidad exacta del actor de amenazas detrás de la operación es un poco confusa, aunque las pistas existentes apuntan en la dirección de Mustang Panda, que también comparte superposiciones con grupos rastreados como Earth Preta, RedDelta y la propia designación de Check Point, Camaro Dragon.

Sin embargo, la compañía dijo que hay “pruebas insuficientes” en esta etapa para atribuirlo de manera concluyente al colectivo adversario.

Contrabando de HTML

La última secuencia de ataque es importante para el uso de Contrabando de HTML – una técnica sigilosa en la que se abusa de las funciones legítimas de HTML5 y JavaScript para ensamblar y lanzar el malware – en los documentos señuelo adjuntos a los correos electrónicos de phishing selectivo.

“El contrabando de HTML emplea atributos de HTML5 que pueden funcionar sin conexión mediante el almacenamiento de un binario en una gota inmutable de datos dentro del código JavaScript”, Trustwave anotado a principios de febrero. “El blob de datos, o la carga útil incrustada, se decodifica en un objeto de archivo cuando se abre a través de un navegador web”.

Un análisis de los documentos, que se cargaron en la base de datos de malware VirusTotal, revela que están diseñados para dirigirse a diplomáticos y entidades gubernamentales en Chequia, Hungría, Eslovaquia, el Reino Unido, Ucrania y también probablemente en Francia y Suecia.

La seguridad cibernética

En un caso, se dice que el actor de la amenaza empleó un señuelo de temática uigur (“China intenta bloquear a un destacado orador uigur en la ONU.docx”) que, cuando se abre, señala a un servidor externo por medio de un seguimiento invisible integrado. píxel para filtrar datos de reconocimiento.

El proceso de infección de múltiples etapas utiliza métodos de carga lateral de DLL para descifrar y lanzar la carga útil final, PlugX.

También llamado Korplug, el malware se remonta a 2008 y es un troyano modular capaz de acomodar “diversos complementos con distintas funcionalidades” que permite a los operadores realizar robos de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecución de comandos.

“Durante el curso de nuestra investigación de las muestras, el actor de amenazas envió un script por lotes, enviado desde el servidor de C&C, con la intención de borrar cualquier rastro de sus actividades”, dijo Check Point.

“Este script, llamado del_RoboTask Update.bat, erradica el ejecutable legítimo, la DLL del cargador PlugX y la clave de registro implementada para la persistencia, y finalmente se elimina a sí mismo. Es probable que esto sea el resultado de que los actores de la amenaza se dieron cuenta de que estaban bajo escrutinio. .”

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Son los alemanes realmente tan “hostiles al Islam” como ahora se afirma?
Next: Comienza nueva ronda de presentación de propuestas para Region Deals

Related Stories

Ofertas de verano: el SSD Samsung 990 Pro 1 To
  • Tecnología

Ofertas de verano: el SSD Samsung 990 Pro 1 To baja de los 160€ con este código promocional

teknomers 6 de Temmuz de 2026
Galaxy S27 Pro: Samsung apostaría por un dúo Exynos/Snapdragon, una
  • Tecnología

Galaxy S27 Pro: Samsung apostaría por un dúo Exynos/Snapdragon, una filtración reaviva el debate

teknomers 6 de Temmuz de 2026
Rebajas de verano: el Samsung Galaxy Z Flip7 de 256
  • Tecnología

Rebajas de verano: el Samsung Galaxy Z Flip7 de 256 Go baja a 799€ en Teknomers

teknomers 6 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida sobre el respeto a los expertos de Shinzo Abe: El mejor consejo para la vida por Shinzo Abe: ‘Los políticos deben ser humildes ante la historia. Y siempre que la historia sea objeto de debate, debe ser…’ – la inspiradora lección del antiguo primer ministro de Japón sobre por qué respetar a los expertos conduce a mejores decisiones.

teknomers 6 de Temmuz de 2026
Ofertas de verano: el SSD Samsung 990 Pro 1 To
  • Tecnología

Ofertas de verano: el SSD Samsung 990 Pro 1 To baja de los 160€ con este código promocional

teknomers 6 de Temmuz de 2026
  • Deporte

T20 Blast: Lancashire y Derbyshire empatan en un emocionante final de infarto

teknomers 6 de Temmuz de 2026
DECRYPTAGE. Episodios de canícula: en Albi, las urgencias en alerta
  • salud

DECRYPTAGE. Episodios de canícula: en Albi, las urgencias en alerta y los Ehpad preparados para proteger a los más frágiles

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.