Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Sentinelone descubre la campaña de espionaje chino dirigido a su infraestructura y clientes
  • Tecnología

Sentinelone descubre la campaña de espionaje chino dirigido a su infraestructura y clientes

teknomers 29 de Nisan de 2025 (Last updated: 29 de Nisan de 2025) 5 minutes read
Sentinelone descubre la campaña de espionaje chino dirigido a su


La compañía de ciberseguridad Sentinelone ha revelado que un clúster de amenaza de China-Nexus denominado Morado realizó intentos de reconocimiento contra su infraestructura y algunos de sus clientes de alto valor.

“Primero nos dimos cuenta de este clúster de amenazas durante una intrusión de 2024 realizada contra una organización que previamente brinda servicios de logística de hardware para empleados de Sentinelone”, los investigadores de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter dicho en un análisis publicado el lunes.

Se evalúa que Purplehaze es un equipo de piratería con lazos sueltos con otro grupo patrocinado por el estado conocido como APT15, que también se rastrea como Flea, Nylon Typhoon (anteriormente Níquel), Tauro juguetón, Royal Apt y Vixen Panda.

El colectivo adversario también se ha observado dirigido a una entidad que respalda el gobierno del sur de Asia en octubre de 2024, empleando una red de caja de relevos operativos (ORB) y una puerta trasera de Windows denominada Goreshell.

El implante, escrito en el lenguaje de programación GO, reutiliza una herramienta de código abierto llamada reverse_ssh Para configurar las conexiones SSH inversas en puntos finales bajo el control del atacante.

Ciberseguridad

“El uso de redes ORB es una tendencia creciente entre estos grupos de amenazas, ya que se pueden ampliar rápidamente para crear una infraestructura dinámica y en evolución que hace que el seguimiento de las operaciones cibernéticas y su atribución desafíen”, señalaron los investigadores.

Un análisis posterior ha determinado que la misma entidad gubernamental del sur de Asia también fue atacada anteriormente en junio de 2024 con Shadowpad (también conocido como Poisonplug), un patio trasero conocido ampliamente compartido entre los grupos de espionaje de China-Nexus. ShadowPad se considera un sucesor de otra puerta trasera denominada complemento.

Dicho esto, con Shadowpad también utilizando como un conducto para entregar ransomware en los últimos meses, la motivación exacta detrás del ataque sigue sin estar clara. Se ha encontrado que los artefactos de Shadowpad se ofuscan utilizando un compilador a medida llamado Cabeza de chorlito.

Todavía se desconoce la naturaleza exacta de la superposición entre la actividad de junio de 2024 y los ataques posteriores de Purplehaze. Sin embargo, se cree que el mismo actor de amenaza podría estar detrás de ellos.

Se estima que el shadowpad obfusco de dispersión se ha empleado en intrusiones dirigidas a más de 70 organizaciones que abarcan sectores de fabricación, gobierno, finanzas, telecomunicaciones y de investigación después de que probablemente exploten una vulnerabilidad de N-Day en los dispositivos de puerta de enlace de punto de control.

Campaña de espionaje chino

Una de las víctimas de estos ataques incluyó la organización que fue responsable de administrar la logística de hardware para los empleados de Sentinelone. Sin embargo, la firma de ciberseguridad señaló que no encontró evidencia de un compromiso secundario.

No es solo China, porque Sentinelone dijo que también observó intentos realizados por los trabajadores de TI alineados en Corea del Norte para asegurar empleos en la compañía, incluido su equipo de ingeniería de inteligencia Sentinellabs, a través de aproximadamente 360 ​​personajes falsos y más de 1,000 solicitudes de empleo.

Por último, pero no menos importante, los operadores de ransomware se han dirigido a Sentinelone y otras plataformas de seguridad centradas en la empresa, intentando obtener acceso a sus herramientas para evaluar la capacidad de su software para evadir la detección.

Esto es alimentado por una economía subterránea activa que gira en torno a comprar, vender y alquilar acceso a las ofertas de seguridad empresarial en aplicaciones de mensajería, así como en foros como XSS[.]es, exploit[.]en y rampa.

“Han surgido ofertas de servicios completos en torno a este ecosistema, incluidas ‘pruebas EDR como servicio’, donde los actores pueden evaluar discretamente malware con diversas plataformas de protección de puntos finales”, explicaron los investigadores.

Ciberseguridad

“Si bien estos servicios de prueba pueden no otorgar acceso directo a consolas o agentes EDR con todas las funciones, sí proporcionan a los atacantes entornos semiprivados para afinar las cargas maliciosas sin la amenaza de exposición, mejorando drásticamente las probabilidades de éxito en los ataques del mundo real”.

Un grupo de ransomware que lleva esta amenaza a un nivel completamente nuevo es el nitrógeno, que se cree que es administrado por un ciudadano ruso. A diferencia de los enfoques típicos que implican que se acercan a los expertos o el uso de credenciales legítimas cosechadas de los registros de infestos de infantes, el nitrógeno adopta una estrategia diferente al hacerse pasar por compañías reales.

Esto se logra configurando dominios parecidos, direcciones de correo electrónico falsificadas e infraestructura clonada que imita a las compañías legítimas, lo que permite al actor de amenaza comprar licencias oficiales para EDR y otros productos de seguridad.

“Este tipo de ingeniería social se ejecuta con precisión”, dijeron los investigadores. “El nitrógeno generalmente apunta a los revendedores pequeños y ligeramente examinados, manteniendo las interacciones mínimas y dependiendo de las prácticas de KYC (conoce a su cliente) inconsistentes de los revendedores para que se deslicen a través de las grietas”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El director estrella alemán, Edward Berger, dispara con Brad Pitt
Next: Sospechoso (19) Caso de asesinato Zaandam tiene que ir al Centro Pieter Baan para la investigación

Related Stories

La Odisea en IMAX 70mm: los formatos de cine explicados
  • Tecnología

La Odisea en IMAX 70mm: los formatos de cine explicados

teknomers 18 de Temmuz de 2026
Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026
La Autoridad de la Competencia señala el dominio de OpenAI,
  • Tecnología

La Autoridad de la Competencia señala el dominio de OpenAI, Anthropic y Google sobre los agentes de IA

teknomers 18 de Temmuz de 2026

You May Have Missed

  • General

Irak y EE. UU. firman 48 acuerdos durante la visita del Primer Ministro Ali al-Zaidi

teknomers 18 de Temmuz de 2026
  • Deporte

Los jugadores de la NFL quieren más campos de césped después de la Copa Mundial.

teknomers 18 de Temmuz de 2026
  • Deporte

Nombres de bebés, elección del nombre… ¿Puede una Copa del Mundo de fútbol impactar en los nacimientos?

teknomers 18 de Temmuz de 2026
Triplé "raro" de Messi, Mundial a 64 con China, "error"
  • General

Triplé “raro” de Messi, Mundial a 64 con China, “error” de los ingleses… Trump revive la Copa del Mundo ante un Infantino admirado

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.