Los proveedores de servicios de Internet (ISP) y las entidades gubernamentales de Oriente Medio han sido atacados mediante una variante actualizada del marco de malware EAGERBEE.<\/p>\n
La nueva variante de EAGERBEE (tambi\u00e9n conocida como Thumtais<\/a>) viene equipado con varios componentes que permiten que la puerta trasera implemente cargas \u00fatiles adicionales, enumere sistemas de archivos y ejecute shells de comandos, lo que demuestra una evoluci\u00f3n significativa.<\/p>\n “Los complementos clave se pueden clasificar en t\u00e9rminos de su funcionalidad en los siguientes grupos: orquestador de complementos, manipulaci\u00f3n del sistema de archivos, administrador de acceso remoto, exploraci\u00f3n de procesos, listado de conexiones de red y gesti\u00f3n de servicios”, dijeron los investigadores de Kaspersky Saurabh Sharma y Vasily Berdnikov. dicho<\/a> en un an\u00e1lisis.<\/p>\n La puerta trasera ha sido evaluada por la empresa rusa de ciberseguridad con un nivel de confianza medio para un grupo de amenazas llamado CoughingDown.<\/p>\n EAGERBEE fue documentado por primera vez por Elastic Security Labs, atribuy\u00e9ndolo a un conjunto de intrusi\u00f3n patrocinado por el estado y centrado en el espionaje denominado REF5961. Una “puerta trasera t\u00e9cnicamente sencilla” con capacidades de cifrado C2 y SSL hacia adelante y hacia atr\u00e1s, est\u00e1 dise\u00f1ada para realizar una enumeraci\u00f3n b\u00e1sica del sistema y entregar ejecutables posteriores para su posterior explotaci\u00f3n.<\/p>\n Posteriormente, se observ\u00f3 una variante del malware en ataques de un grupo de amenazas alineado con el estado chino rastreado como Cluster Alpha como parte de una operaci\u00f3n de ciberespionaje m\u00e1s amplia con nombre en c\u00f3digo Crimson Palace con el objetivo de robar secretos militares y pol\u00edticos sensibles de un gobierno de alto perfil. organizaci\u00f3n en el Sudeste Asi\u00e1tico.<\/p>\n El grupo Alpha, seg\u00fan Sophos, se superpone con grupos de amenazas rastreados como BackdoorDiplomacy, REF5961, Worok y TA428. Se sabe que BackdoorDiplomacy, por su parte, exhibe similitudes t\u00e1cticas con otro grupo de habla china cuyo nombre en c\u00f3digo es CloudComputating (tambi\u00e9n conocido como Faking Dragon), al que se le ha atribuido un marco de malware de m\u00faltiples complementos denominado QSC en ataques dirigidos a la industria de las telecomunicaciones en el sur de Asia.<\/p>\n “QSC es un marco modular, del cual s\u00f3lo el cargador inicial permanece en el disco mientras que el n\u00facleo y los m\u00f3dulos de red est\u00e1n siempre en la memoria”, Kaspersky anotado<\/a> en noviembre de 2024. “El uso de una arquitectura basada en complementos brinda a los atacantes la capacidad de controlar qu\u00e9 complemento (m\u00f3dulo) cargar en la memoria seg\u00fan la demanda, seg\u00fan el objetivo de inter\u00e9s”.<\/p>\n En el \u00faltimo conjunto de ataques que involucran a EAGERBEE, se dise\u00f1a una DLL de inyector para iniciar el m\u00f3dulo de puerta trasera, que luego se utiliza para recopilar informaci\u00f3n del sistema y filtrar los detalles a un servidor remoto al que se establece una conexi\u00f3n a trav\u00e9s de un socket TCP.<\/p>\n Posteriormente, el servidor responde con un Plugin Orchestrator que, adem\u00e1s de informar al servidor informaci\u00f3n relacionada con el sistema (por ejemplo, nombre NetBIOS del dominio; uso de memoria f\u00edsica y virtual; y configuraci\u00f3n local y horaria del sistema), recopila detalles sobre los procesos en ejecuci\u00f3n. y espera m\u00e1s instrucciones –<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/La-nueva-variante-de-EAGERBEE-se-dirige-a-ISP-y.png\")
<\/a><\/center><\/div>\n\n