{"id":1353999,"date":"2024-09-09T22:01:17","date_gmt":"2024-09-09T22:01:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-explotan-codigo-de-visual-studio-en-ciberataques-en-el-sudeste-asiatico\/"},"modified":"2024-09-09T22:01:21","modified_gmt":"2024-09-09T22:01:21","slug":"hackers-chinos-explotan-codigo-de-visual-studio-en-ciberataques-en-el-sudeste-asiatico","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-explotan-codigo-de-visual-studio-en-ciberataques-en-el-sudeste-asiatico\/","title":{"rendered":"Hackers chinos explotan c\u00f3digo de Visual Studio en ciberataques en el sudeste asi\u00e1tico"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">9 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Hackers-chinos-explotan-codigo-de-Visual-Studio-en-ciberataques-en.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El grupo de amenaza persistente avanzada (APT) vinculado a China, conocido como <strong>Panda Mustang<\/strong> Se ha observado que utiliza el software Visual Studio Code como arma como parte de operaciones de espionaje dirigidas a entidades gubernamentales en el sudeste asi\u00e1tico.<\/p>\n<p>&#8220;Este actor de amenazas utiliz\u00f3 la funci\u00f3n de shell inverso integrada de Visual Studio Code para afianzarse en las redes objetivo&#8221;, dijo el investigador de la Unidad 42 de Palo Alto Networks, Tom Fakterman. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-abuses-vscode-southeast-asian-espionage\/\" target=\"_blank\">dicho<\/a> en un informe, describi\u00e9ndolo como una &#8220;t\u00e9cnica relativamente nueva&#8221; que fue <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@truvis.thornton\/visual-studio-code-embedded-reverse-shell-and-how-to-block-create-sentinel-detection-and-add-e864ebafaf6d\" target=\"_blank\">primero demostrado<\/a> en septiembre de 2023 por Truvis Thornton.<\/p>\n<p>Se considera que la campa\u00f1a es una continuaci\u00f3n de una actividad de ataque previamente documentada dirigida a una entidad gubernamental an\u00f3nima del sudeste asi\u00e1tico a fines de septiembre de 2023.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Mustang Panda, tambi\u00e9n conocido por los nombres BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta y Red Lich, ha estado operativo desde 2012, realizando rutinariamente campa\u00f1as de espionaje cibern\u00e9tico dirigidas a entidades gubernamentales y religiosas en Europa y Asia, particularmente aquellas ubicadas en pa\u00edses del Mar de China Meridional.<\/p>\n<p>La \u00faltima secuencia de ataque observada se destaca por el abuso del shell inverso de Visual Studio Code para ejecutar c\u00f3digo arbitrario y entregar cargas \u00fatiles adicionales.<\/p>\n<p>&#8220;Para abusar de Visual Studio Code con fines maliciosos, un atacante puede utilizar la versi\u00f3n port\u00e1til de code.exe (el archivo ejecutable de Visual Studio Code) o una versi\u00f3n ya instalada del software&#8221;, se\u00f1al\u00f3 Fakterman. &#8220;Al ejecutar el comando code.exe tunnel, un atacante recibe un enlace que le exige iniciar sesi\u00f3n en GitHub con su propia cuenta&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725919276_251_Hackers-chinos-explotan-codigo-de-Visual-Studio-en-ciberataques-en.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725919276_251_Hackers-chinos-explotan-codigo-de-Visual-Studio-en-ciberataques-en.png\" alt=\"C\u00f3digo de Visual Studio\" border=\"0\" data-original-height=\"974\" data-original-width=\"1536\" title=\"C\u00f3digo de Visual Studio\"\/><\/a><\/div>\n<p>Una vez completado este paso, el atacante es redirigido a un entorno web de Visual Studio Code que est\u00e1 conectado a la m\u00e1quina infectada, lo que le permite ejecutar comandos o crear archivos nuevos.<\/p>\n<p>Vale la pena se\u00f1alar que el uso malicioso de esta t\u00e9cnica fue destacado previamente por la firma de ciberseguridad holandesa mnemonic en relaci\u00f3n con la explotaci\u00f3n de d\u00eda cero de una vulnerabilidad en los productos de puerta de enlace de seguridad de red de Check Point (CVE-2024-24919, puntuaci\u00f3n CVSS: 8,6) a principios de este a\u00f1o.<\/p>\n<p>La Unidad 42 afirm\u00f3 que el actor de Mustang Panda aprovech\u00f3 el mecanismo para distribuir malware, realizar tareas de reconocimiento y extraer datos confidenciales. Adem\u00e1s, se dice que el atacante utiliz\u00f3 OpenSSH para ejecutar comandos, transferir archivos y propagarse por la red.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Pero eso no es todo. Un an\u00e1lisis m\u00e1s detallado del entorno infectado ha revelado un segundo grupo de actividades &#8220;que se producen simult\u00e1neamente y a veces incluso en los mismos puntos finales&#8221; que utilizan el malware ShadowPad, una puerta trasera modular ampliamente compartida por los grupos de espionaje chinos.<\/p>\n<p>Actualmente no est\u00e1 claro si estos dos conjuntos de intrusiones est\u00e1n relacionados entre s\u00ed o si dos grupos diferentes est\u00e1n &#8220;aprovech\u00e1ndose del acceso del otro&#8221;.<\/p>\n<p>&#8220;Bas\u00e1ndonos en las pruebas forenses y en la cronolog\u00eda, se podr\u00eda concluir que estos dos grupos se originaron a partir del mismo actor de amenazas (Stately Taurus)&#8221;, dijo Fakterman. &#8220;Sin embargo, podr\u00eda haber otras explicaciones posibles que expliquen esta conexi\u00f3n, como un esfuerzo colaborativo entre dos actores de amenazas APT chinos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/chinese-hackers-exploit-visual-studio.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8029 de septiembre de 2024\ue804Ravie LakshmananEspionaje cibern\u00e9tico \/ Malware El grupo de amenaza persistente avanzada (APT) vinculado a<\/p>\n","protected":false},"author":1,"featured_media":1354000,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10661,4661,4289,12394,706,4664,8513,6369,4667,239182,4654,239508,4658,4659,4653,246983,4665,246984,2459,33628,246982,4395,239484],"class_list":["post-1353999","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asiatico","tag-ataques-ciberneticos","tag-chinos","tag-ciberataques","tag-codigo","tag-como-hackear","tag-explotan","tag-hackers","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-studio","tag-sudeste","tag-violacion-de-datos","tag-visual","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1353999","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1353999"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1353999\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1354000"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1353999"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1353999"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1353999"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}