{"id":1566233,"date":"2025-02-05T19:32:08","date_gmt":"2025-02-05T19:32:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/lynx-silencioso-usando-cargadores-de-powershell-golang-y-c-en-ataques-ciberneticos-de-varias-etapas\/"},"modified":"2025-02-05T19:32:12","modified_gmt":"2025-02-05T19:32:12","slug":"lynx-silencioso-usando-cargadores-de-powershell-golang-y-c-en-ataques-ciberneticos-de-varias-etapas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lynx-silencioso-usando-cargadores-de-powershell-golang-y-c-en-ataques-ciberneticos-de-varias-etapas\/","title":{"rendered":"Lynx silencioso usando cargadores de PowerShell, Golang y C ++ en ataques cibern\u00e9ticos de varias etapas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>5 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenaza previamente indocumentado conocido como Lynx silencioso se ha relacionado con ataques cibern\u00e9ticos dirigidos a varias entidades en Kirguist\u00e1n y Turkmenist\u00e1n.<\/p>\n

“Este grupo de amenazas ha atacado previamente a entidades alrededor de Europa del Este y del gobierno de Asia Central Tanks involucrados en la toma de decisiones econ\u00f3micas y el sector bancario”, Investigador de Labios de Seqrite Subhajeet Singha dicho<\/a> En un informe t\u00e9cnico publicado a fines del mes pasado.<\/p>\n

Los objetivos de los ataques del grupo de pirater\u00eda incluyen embajadas, abogados, bancos respaldados por el gobierno y think tanks. La actividad se ha atribuido a un actor de amenaza de origen de Kazajst\u00e1n con un nivel medio de confianza.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las infecciones comienzan con un correo electr\u00f3nico de phishing de lanza que contiene un archivo adjunto de archivo RAR que finalmente act\u00faa como un veh\u00edculo de entrega para cargas \u00fatiles maliciosas responsables de otorgar acceso remoto a los hosts comprometidos.<\/p>\n

La primera de las dos campa\u00f1as, detectadas por la compa\u00f1\u00eda de seguridad cibern\u00e9tica el 27 de diciembre de 2024, aprovecha el archivo RAR para lanzar un archivo ISO que, a su vez, incluye un binario C ++ malicioso y un archivo PDF de se\u00f1uelo. Posteriormente, el ejecutable procede a ejecutar un script PowerShell que usa bots de telegrama (llamado “@South_korea145_Bot” y “@South_AFR_ANGL_BOT”) para la ejecuci\u00f3n de comandos y la exfiltraci\u00f3n de datos.<\/p>\n

\"\"<\/a><\/div>\n

Algunos de los comandos ejecutados a trav\u00e9s de los bots incluyen comandos CURL para descargar y guardar cargas \u00fatiles adicionales desde un servidor remoto (“PweObMXDLBOI[.]com “) o Google Drive.<\/p>\n

La otra campa\u00f1a, en contraste, emplea un archivo de rar malicioso que contiene dos archivos: un PDF se\u00f1uelo y un ejecutable de Golang, el \u00faltimo de los cuales est\u00e1 dise\u00f1ado para establecer un shell inverso en un servidor controlado por el atacante (“185.122.171[.]22: 8082 “).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Seqrite Labs dijo que observ\u00f3 cierto nivel de superposiciones t\u00e1cticas entre el actor de amenaza y el Yorotrooper (tambi\u00e9n conocido como Sturgeonphisher), que se ha relacionado con los ataques dirigidos a la comunidad de los pa\u00edses independientes (IC) utilizando herramientas PowerShell y Golang.<\/p>\n

“Las campa\u00f1as de Silent Lynx demuestran una sofisticada estrategia de ataque de varias etapas utilizando archivos ISO, cargadores C ++, guiones PowerShell e implantes de Golang”, dijo Singha.<\/p>\n

“Su dependencia de los bots de telegrama para el comando y el control, combinados con documentos de se\u00f1uelo y orientaci\u00f3n regional que tambi\u00e9n destaca su enfoque en el espionaje en Asia Central y las naciones basadas en SPECA”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n