{"id":1152798,"date":"2024-01-25T22:57:24","date_gmt":"2024-01-25T22:57:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-respaldados-por-china-secuestran-actualizaciones-de-software-para-implantes-nspx30-software-espia\/"},"modified":"2024-01-25T22:57:28","modified_gmt":"2024-01-25T22:57:28","slug":"hackers-respaldados-por-china-secuestran-actualizaciones-de-software-para-implantes-nspx30-software-espia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-respaldados-por-china-secuestran-actualizaciones-de-software-para-implantes-nspx30-software-espia\/","title":{"rendered":"Hackers respaldados por China secuestran actualizaciones de software para implantes &quot;NSPX30&quot; software esp\u00eda"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas previamente indocumentado alineado con China ha sido vinculado a una serie de ataques de adversario en el medio (AitM) que secuestran solicitudes de actualizaci\u00f3n de software leg\u00edtimo para entregar un sofisticado implante llamado NSPX30.<\/p>\n<p>La empresa eslovaca de ciberseguridad ESET est\u00e1 rastreando el grupo de amenazas persistentes avanzadas (APT) con el nombre <strong>Madera negra<\/strong>.  Se dice que est\u00e1 activo desde al menos 2018.<\/p>\n<p>Se ha observado que el implante NSPX30 se implement\u00f3 a trav\u00e9s de mecanismos de actualizaci\u00f3n de software conocido como Tencent QQ, WPS Office y Sogou Pinyin, y los ataques se dirigieron a empresas de fabricaci\u00f3n, comercio e ingenier\u00eda chinas y japonesas, as\u00ed como a personas ubicadas en China, Jap\u00f3n. y el reino unido<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223441_995_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223441_995_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" alt=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\" border=\"0\" data-original-height=\"238\" data-original-width=\"728\" title=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\"\/><\/a><\/div>\n<p>&#8220;NSPX30 es un implante multietapa que incluye varios componentes como un gotero, un instalador, un cargador, un orquestador y una puerta trasera&#8221;, explic\u00f3 el investigador de seguridad Facundo Mu\u00f1oz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005\/\" target=\"_blank\">dicho<\/a>.  &#8220;Los dos \u00faltimos tienen sus propios conjuntos de complementos&#8221;.<\/p>\n<p>&#8220;El implante fue dise\u00f1ado en torno a la capacidad de los atacantes para interceptar paquetes, permitiendo a los operadores NSPX30 ocultar su infraestructura&#8221;.<\/p>\n<p>Los or\u00edgenes de la puerta trasera, que tambi\u00e9n es capaz de eludir varias soluciones antimalware chinas al incluirse en la lista de permitidos, se remontan a otro malware de enero de 2005 cuyo nombre en c\u00f3digo es Proyecto Wood, que est\u00e1 dise\u00f1ado para recolectar informaci\u00f3n del sistema y de la red, registrar las pulsaciones de teclas y tomar capturas de pantalla de los sistemas v\u00edctimas.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El c\u00f3digo base del Proyecto Wood ha actuado como base para varios implantes, incluidas variantes de generaci\u00f3n como <a rel=\"nofollow noopener\" href=\"https:\/\/bbs.kafan.cn\/thread-1354867-1-1.html\" target=\"_blank\">MCD<\/a> (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20160415014548\/http:\/www.freebuf.com\/articles\/system\/101447.html\" target=\"_blank\">Espectro oscuro<\/a>) en 2008, y el malware se utiliz\u00f3 posteriormente en ataques dirigidos a personas de inter\u00e9s en Hong Kong y el \u00e1rea de la Gran China en <a rel=\"nofollow noopener\" href=\"https:\/\/www.sans.org\/white-papers\/33814\/\" target=\"_blank\">2012<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.gdatasoftware.com\/blog\/2014\/10\/23940-operation-toohash-how-targeted-attacks-work\" target=\"_blank\">2014<\/a>.<\/p>\n<p>NSPX30, la \u00faltima versi\u00f3n del implante, se entrega cuando los intentos de descargar actualizaciones de software de servidores leg\u00edtimos utilizando el protocolo HTTP (sin cifrar) resultan en un compromiso del sistema, allanando el camino para la implementaci\u00f3n de un archivo DLL cuentagotas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223443_611_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223443_611_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" alt=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\" border=\"0\" data-original-height=\"289\" data-original-width=\"728\" title=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\"\/><\/a><\/div>\n<p>El dropper malicioso implementado como parte del proceso de actualizaci\u00f3n comprometido crea varios archivos en el disco y ejecuta &#8220;RsStub.exe&#8221;, un binario asociado con el software Rising Antivirus para iniciar &#8220;comx3.dll&#8221; aprovechando el hecho de que el primero est\u00e1 susceptible a la carga lateral de DLL.<\/p>\n<p>&#8220;comx3.dll&#8221; funciona como un cargador para ejecutar un tercer archivo llamado &#8220;comx3.dll.txt&#8221;, que es una biblioteca de instalaci\u00f3n responsable de activar la cadena de ataque de la siguiente etapa que culmina con la ejecuci\u00f3n del componente orquestador (&#8220;WIN. cfg&#8221;).<\/p>\n<p>Actualmente no se sabe c\u00f3mo los actores de amenazas entregan el cuentagotas en forma de actualizaciones maliciosas, pero los actores de amenazas chinos como BlackTech, Evasive Panda, Judgement Panda y Mustang Panda han aprovechado los enrutadores comprometidos como canal para distribuir malware en el pasado.<\/p>\n<p>ESET especula que los atacantes &#8220;est\u00e1n implementando un implante de red en las redes de las v\u00edctimas, posiblemente en dispositivos de red vulnerables como enrutadores o puertas de enlace&#8221;.<\/p>\n<p>&#8220;El hecho de que no hayamos encontrado indicios de redirecci\u00f3n de tr\u00e1fico a trav\u00e9s de DNS podr\u00eda indicar que cuando el hipot\u00e9tico implante de red intercepta el tr\u00e1fico HTTP no cifrado relacionado con las actualizaciones, responde con el cuentagotas del implante NSPX30 en forma de una DLL, un archivo ejecutable o un ZIP. archivo que contiene la DLL.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223443_232_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706223443_232_Hackers-respaldados-por-China-secuestran-actualizaciones-de-software-para-implantes.jpg\" alt=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\" border=\"0\" data-original-height=\"542\" data-original-width=\"728\" title=\"Actualizaciones de software secuestradas por piratas inform\u00e1ticos\"\/><\/a><\/div>\n<p>Luego, el orquestador procede a crear dos subprocesos, uno para obtener la puerta trasera (&#8220;msfmtkl.dat&#8221;) y otro para cargar sus complementos y agregar exclusiones a la lista de permitidos de las DLL del cargador para evitar las soluciones antimalware chinas.<\/p>\n<p>La puerta trasera se descarga mediante una solicitud HTTP al sitio web de Baidu www.baidu.[.]com, un motor de b\u00fasqueda chino leg\u00edtimo, con una cadena de agente de usuario inusual que hace pasar la solicitud como si se originara en el navegador Internet Explorer en Windows 98.<\/p>\n<p>Luego, la respuesta del servidor se guarda en un archivo del cual se extrae el componente de puerta trasera y se carga en la memoria.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>NSPX30, como parte de su fase de inicializaci\u00f3n, tambi\u00e9n crea un socket de escucha UDP pasivo para recibir comandos del controlador y extraer datos probablemente interceptando paquetes de consulta DNS para anonimizar su infraestructura de comando y control (C2).<\/p>\n<p>Las instrucciones permiten que la puerta trasera cree un shell inverso, recopile informaci\u00f3n de archivos, finalice procesos espec\u00edficos, capture capturas de pantalla, registre pulsaciones de teclas e incluso se desinstale de la m\u00e1quina infectada.<\/p>\n<p>La divulgaci\u00f3n se produce semanas despu\u00e9s de que SecurityScorecard revelara una nueva infraestructura conectada a otro grupo de ciberespionaje del nexo de Beijing conocido como Volt Typhoon (tambi\u00e9n conocido como Bronze Silhouette) que aprovecha una botnet creada mediante la explotaci\u00f3n de fallas de seguridad conocidas en los enrutadores Cisco RV320\/325 al final de su vida \u00fatil (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-1652\" target=\"_blank\">CVE-2019-1652<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-1653\" target=\"_blank\">CVE-2019-1653<\/a>) que opera en Europa, Am\u00e9rica del Norte y Asia Pac\u00edfico.<\/p>\n<p>&#8220;Aproximadamente el 30% de ellos (325 de 1116 dispositivos) se comunicaron con dos direcciones IP previamente denominadas enrutadores proxy utilizados para comunicaciones de comando y control (C2), 174.138.56[.]21 y 159.203.113[.]25, en un per\u00edodo de treinta d\u00edas&#8221;, la empresa <a rel=\"nofollow noopener\" href=\"https:\/\/securityscorecard.com\/blog\/threat-intelligence-research-volt-typhoon\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Volt Typhoon puede intentar utilizar estos dispositivos comprometidos para transferir datos robados o conectarse a las redes de las organizaciones objetivo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/china-backed-hackers-hijack-software.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un actor de amenazas previamente indocumentado alineado con China ha sido vinculado a una serie de ataques de<\/p>\n","protected":false},"author":1,"featured_media":1152799,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[5152,4657,4656,4661,73,4664,10040,4662,6369,14395,4668,201033,4654,201031,4659,4653,4655,18,231,227372,68789,25909,4666,4665,6246,201032,4660],"class_list":["post-1152798","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-china","tag-como-hackear","tag-espia","tag-filtracion-de-datos","tag-hackers","tag-implantes","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-por","tag-quotnspx30quot","tag-respaldados","tag-secuestran","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1152798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1152798"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1152798\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1152799"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1152798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1152798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1152798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}