{"id":1087012,"date":"2023-12-11T15:43:36","date_gmt":"2023-12-11T15:43:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-desenmascaran-el-vinculo-oculto-de-sandman-apt-con-la-puerta-trasera-keyplug-con-sede-en-china\/"},"modified":"2023-12-11T15:43:40","modified_gmt":"2023-12-11T15:43:40","slug":"investigadores-desenmascaran-el-vinculo-oculto-de-sandman-apt-con-la-puerta-trasera-keyplug-con-sede-en-china","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-desenmascaran-el-vinculo-oculto-de-sandman-apt-con-la-puerta-trasera-keyplug-con-sede-en-china\/","title":{"rendered":"Investigadores desenmascaran el v\u00ednculo oculto de Sandman APT con la puerta trasera KEYPLUG con sede en China"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas\/ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Investigadores-desenmascaran-el-vinculo-oculto-de-Sandman-APT-con-la.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Se han descubierto superposiciones t\u00e1cticas y de objetivos entre la enigm\u00e1tica amenaza persistente avanzada (APT) llamada <strong>hombre de arena<\/strong> y un grupo de amenazas con sede en China que se sabe que utiliza una puerta trasera conocida como KEYPLUG.<\/p>\n<p>La evaluaci\u00f3n proviene conjuntamente de SentinelOne, PwC y el equipo de Microsoft Threat Intelligence bas\u00e1ndose en el hecho de que se ha determinado que el malware basado en Lua del adversario, LuaDream y KEYPLUG, cohabitan &#8220;en las mismas redes de v\u00edctimas&#8221;.<\/p>\n<p>Microsoft y PwC est\u00e1n rastreando la actividad bajo los nombres Storm-0866 y Red Dev 40, respectivamente.<\/p>\n<p>&#8220;Sandman y Storm-0866\/Red Dev 40 comparten pr\u00e1cticas de gesti\u00f3n y control de infraestructura, incluidas selecciones de proveedores de alojamiento y convenciones de nombres de dominio, las empresas <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.sentinelone.com\/labs\/sandman-apt-china-based-adversaries-embrace-lua\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>&#8220;La implementaci\u00f3n de LuaDream y KEYPLUG revela indicadores de pr\u00e1cticas de desarrollo compartidas y superposiciones en funcionalidades y dise\u00f1o, lo que sugiere requisitos funcionales compartidos por sus operadores&#8221;.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/social-engineering-psychology?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Descifrando el c\u00f3digo: aprenda c\u00f3mo los ciberatacantes explotan la psicolog\u00eda humana<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">\u00bfAlguna vez te has preguntado por qu\u00e9 la ingenier\u00eda social es tan eficaz?  Profundice en la psicolog\u00eda de los ciberatacantes en nuestro pr\u00f3ximo seminario web.<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/social-engineering-psychology?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>Sandman fue expuesto por primera vez por SentinelOne en septiembre de 2023, detallando sus ataques a proveedores de telecomunicaciones en Medio Oriente, Europa occidental y el sur de Asia utilizando un novedoso implante con nombre en c\u00f3digo LuaDream.  Las intrusiones se registraron en agosto de 2023.<\/p>\n<p>Storm-0866\/Red Dev 40, por otro lado, se refiere a un grupo APT emergente que destaca principalmente entidades en el Medio Oriente y el subcontinente del sur de Asia, incluidos proveedores de telecomunicaciones y entidades gubernamentales.<\/p>\n<p>Una de las herramientas clave en el arsenal de Storm-0866 es KEYPLUG, una puerta trasera que fue revelada por primera vez por Mandiant, propiedad de Google, como parte de los ataques organizados por el actor APT41 (tambi\u00e9n conocido como Brass Typhoon o Barium) con sede en China para infiltrarse en seis redes gubernamentales estatales de EE. UU. entre mayo de 2021 y febrero de 2022.<\/p>\n<p>En un informe publicado a principios de marzo, Recorded Future atribuy\u00f3 el uso de KEYPLUG a un grupo de actividad de amenazas patrocinado por el estado chino que est\u00e1 rastreando como RedGolf, que, seg\u00fan dijo, &#8220;se superpone estrechamente con la actividad de amenazas reportada bajo los alias de APT41\/BARIUM&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702309415_87_Investigadores-desenmascaran-el-vinculo-oculto-de-Sandman-APT-con-la.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702309415_87_Investigadores-desenmascaran-el-vinculo-oculto-de-Sandman-APT-con-la.jpg\" alt=\"\" border=\"0\" data-original-height=\"400\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Un examen minucioso de la implementaci\u00f3n y la infraestructura C2 de estas distintas cepas de malware revel\u00f3 indicadores de desarrollo compartido, as\u00ed como pr\u00e1cticas de gesti\u00f3n y control de infraestructura, y algunas superposiciones en funcionalidades y dise\u00f1o, lo que sugiere requisitos funcionales compartidos por sus operadores&#8221;, se\u00f1alaron las empresas. .<\/p>\n<p>Una de las superposiciones notables son dos dominios LuaDream C2 llamados &#8220;dan.det-ploshadka[.]com&#8221; y &#8220;ssl.e-novauto[.]com&#8221;, que tambi\u00e9n se ha utilizado como servidor KEYPLUG C2 y que se ha vinculado a Storm-0866.<\/p>\n<p>Otro punto en com\u00fan interesante entre LuaDream y KEYPLUG es que ambos implantes admiten protocolos QUIC y WebSocket para comunicaciones C2, lo que indica requisitos comunes y la probable presencia de un intendente digital detr\u00e1s de la coordinaci\u00f3n. <\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El orden en el que LuaDream y KEYPLUG eval\u00faan el protocolo configurado entre HTTP, TCP, WebSocket y QUIC es el mismo: HTTP, TCP, WebSocket y QUIC en ese orden&#8221;, dijeron los investigadores.  &#8220;Los flujos de ejecuci\u00f3n de alto nivel de LuaDream y KEYPLUG son muy similares&#8221;.<\/p>\n<p>La adopci\u00f3n de Lua es otra se\u00f1al de que los actores de amenazas, tanto alineados con el Estado-naci\u00f3n como centrados en el cibercrimen, est\u00e1n poniendo cada vez m\u00e1s sus miras en lenguajes de programaci\u00f3n poco comunes como DLang y <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/cyble.com\/blog\/kanti-a-nim-based-ransomware-unleashed-in-the-wild\/\" target=\"_blank\">nim<\/a> para evadir la detecci\u00f3n y persistir en los entornos de las v\u00edctimas durante largos per\u00edodos de tiempo.<\/p>\n<p>El malware basado en Lua, en particular, se ha detectado s\u00f3lo un pu\u00f1ado de veces en la \u00faltima d\u00e9cada.  Esto incluye Flame, Animal Farm (tambi\u00e9n conocido como SNOWGLOBE) y Project Sauron.<\/p>\n<p>&#8220;Existen fuertes superposiciones en la infraestructura operativa, los objetivos y los TTP que asocian el Sandman APT con adversarios con sede en China que utilizan la puerta trasera KEYPLUG, STORM-0866\/Red Dev 40 en particular&#8221;, dijeron los investigadores.  &#8220;Esto pone de relieve la compleja naturaleza del panorama de amenazas chino&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/researchers-unmask-sandman-apts-hidden.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de diciembre de 2023\ue804Sala de redacci\u00f3nInteligencia de amenazas\/ataque cibern\u00e9tico Se han descubierto superposiciones t\u00e1cticas y de objetivos<\/p>\n","protected":false},"author":1,"featured_media":1087013,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26597,4661,73,4664,99,148778,4662,12583,154577,4668,201033,4654,201031,4659,4653,4655,21987,1732,65773,2788,4666,4665,201032,7157,8767,4660],"class_list":["post-1087012","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt","tag-ataques-ciberneticos","tag-china","tag-como-hackear","tag-con","tag-desenmascaran","tag-filtracion-de-datos","tag-investigadores","tag-keyplug","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oculto","tag-puerta","tag-sandman","tag-sede","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-trasera","tag-vinculo","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1087012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1087012"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1087012\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1087013"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1087012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1087012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1087012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}