{"id":1453897,"date":"2024-11-22T21:01:33","date_gmt":"2024-11-22T21:01:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/tag-112-vinculado-a-china-apunta-a-los-medios-tibetanos-con-una-campana-de-espionaje-sobre-ataques-con-cobalto\/"},"modified":"2024-11-22T21:01:38","modified_gmt":"2024-11-22T21:01:38","slug":"tag-112-vinculado-a-china-apunta-a-los-medios-tibetanos-con-una-campana-de-espionaje-sobre-ataques-con-cobalto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/tag-112-vinculado-a-china-apunta-a-los-medios-tibetanos-con-una-campana-de-espionaje-sobre-ataques-con-cobalto\/","title":{"rendered":"TAG-112 vinculado a China apunta a los medios tibetanos con una campa\u00f1a de espionaje sobre ataques con cobalto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de noviembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/TAG-112-vinculado-a-China-apunta-a-los-medios-tibetanos-con.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un grupo de estado-naci\u00f3n vinculado a China llamado TAG-112 comprometi\u00f3 los sitios web de medios y universidades tibetanos en una nueva campa\u00f1a de ciberespionaje dise\u00f1ada para facilitar la entrega del conjunto de herramientas posteriores a la explotaci\u00f3n de Cobalt Strike para la recopilaci\u00f3n de informaci\u00f3n de seguimiento.<\/p>\n<p>&#8220;Los atacantes incorporaron JavaScript malicioso en estos sitios, lo que falsific\u00f3 un error de certificado TLS para enga\u00f1ar a los visitantes para que descargaran un certificado de seguridad disfrazado&#8221;, Insikt Group de Recorded Future. <a rel=\"noopener nofollow\" href=\"https:\/\/www.recordedfuture.com\/research\/china-nexus-tag-112-compromises-tibetan-websites\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Este malware, utilizado a menudo por actores de amenazas para acceso remoto y post-explotaci\u00f3n, pone de relieve un enfoque continuo de ciberespionaje en entidades tibetanas&#8221;.<\/p>\n<p>Los compromisos se han atribuido a un grupo de amenazas patrocinado por el estado llamado TAG-112, que ha sido descrito como un posible subgrupo de otro grupo rastreado como Evasive Panda (tambi\u00e9n conocido como Bronze Highland, Daggerfly, StormBamboo y TAG-102) debido a superposiciones t\u00e1cticas y su ataque hist\u00f3rico a entidades tibetanas.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731050243_236_CISA-alerta-sobre-la-explotacion-activa-de-la-vulnerabilidad-critica.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los dos sitios web de la comunidad tibetana que fueron vulnerados por el colectivo adversario a finales de mayo de 2024 fueron Tibet Post (tibetpost[.]net) y la Universidad T\u00e1ntrica Gyudmed (gyudmedtantricuniversity[.]org).<\/p>\n<p>Espec\u00edficamente, se descubri\u00f3 que los sitios web comprometidos fueron manipulados para solicitar a los visitantes de los sitios que descargaran un ejecutable malicioso disfrazado de &#8220;certificado de seguridad&#8221; que cargaba una carga \u00fatil de Cobalt Strike al momento de la ejecuci\u00f3n.<\/p>\n<p>Se dice que el JavaScript que hizo esto posible se carg\u00f3 en los sitios probablemente utilizando una vulnerabilidad de seguridad en su sistema de gesti\u00f3n de contenidos, Joomla.<\/p>\n<p>&#8220;El JavaScript malicioso es activado por el evento window.onload&#8221;, dijo Recorded Future. &#8220;Primero verifica el sistema operativo del usuario y el tipo de navegador web; es probable que esto filtre los sistemas operativos que no sean Windows, ya que esta funci\u00f3n finalizar\u00e1 el script si no se detecta Windows&#8221;.<\/p>\n<p>La informaci\u00f3n del navegador (es decir, Google Chrome o Microsoft Edge) se env\u00eda luego a un servidor remoto (update.maskrisks[.]com), que devuelve una plantilla HTML que es una versi\u00f3n modificada del navegador respectivo <a rel=\"noopener nofollow\" href=\"https:\/\/www.hostinger.in\/tutorials\/net-err_cert_common_name_invalid\" target=\"_blank\">P\u00e1gina de error del certificado TLS<\/a> eso generalmente se muestra cuando hay un problema con el certificado TLS del host.<\/p>\n<p>El JavaScript, adem\u00e1s de mostrar la alerta de certificado de seguridad falso, inicia autom\u00e1ticamente la descarga de un supuesto certificado de seguridad para el dominio *.dnspod[.]cn, pero, en realidad, es un ejecutable firmado leg\u00edtimo que carga una carga \u00fatil de Cobalt Strike Beacon mediante la carga lateral de DLL.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-nov\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1730452711_528_Microsoft-retrasa-la-retirada-del-mercado-de-Windows-Copilot-por.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar en esta etapa que el sitio web de Tibet Post fue infiltrado por separado por el actor Evasive Panda en relaci\u00f3n con un abrevadero y un ataque a la cadena de suministro dirigido a usuarios tibetanos al menos desde septiembre de 2023. Los ataques llevaron al despliegue de puertas traseras conocidas como MgBot y Nightdoor, revel\u00f3 ESET a principios de marzo.<\/p>\n<p>A pesar de esta importante intersecci\u00f3n t\u00e1ctica, Recorded Future dijo que mantiene los dos conjuntos de intrusi\u00f3n dispares debido a la &#8220;diferencia de madurez&#8221; entre ellos.<\/p>\n<p>&#8220;La actividad observada por TAG-112 carece de la sofisticaci\u00f3n observada por TAG-102&#8221;, dijo. &#8220;Por ejemplo, TAG-112 no utiliza ofuscaci\u00f3n de JavaScript y emplea Cobalt Strike, mientras que TAG-102 aprovecha malware personalizado. Es probable que TAG-112 sea un subgrupo de TAG-102, que trabaja para cumplir con requisitos de inteligencia iguales o similares&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/china-linked-tag-112-targets-tibetan.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de noviembre de 2024\ue804Ravie LakshmananCiberespionaje\/malware Un grupo de estado-naci\u00f3n vinculado a China llamado TAG-112 comprometi\u00f3 los sitios<\/p>\n","protected":false},"author":1,"featured_media":1453898,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,2346,4661,3372,73,83301,4664,99,10315,201033,36,4874,4654,201031,4659,4653,4655,246983,255454,246984,131,201032,264427,112108,158,12460,246982,4660],"class_list":["post-1453897","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques","tag-ataques-ciberneticos","tag-campana","tag-china","tag-cobalto","tag-como-hackear","tag-con","tag-espionaje","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-medios","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sobre","tag-software-malicioso-ransomware","tag-tag112","tag-tibetanos","tag-una","tag-vinculado","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1453897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1453897"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1453897\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1453898"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1453897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1453897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1453897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}