{"id":1579016,"date":"2025-02-13T22:20:15","date_gmt":"2025-02-13T22:20:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataque-de-ransomware-del-mundo-ra-en-el-sur-de-asia-enlaces-al-conjunto-de-herramientas-de-espionaje-chino\/"},"modified":"2025-02-13T22:20:21","modified_gmt":"2025-02-13T22:20:21","slug":"ataque-de-ransomware-del-mundo-ra-en-el-sur-de-asia-enlaces-al-conjunto-de-herramientas-de-espionaje-chino","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataque-de-ransomware-del-mundo-ra-en-el-sur-de-asia-enlaces-al-conjunto-de-herramientas-de-espionaje-chino\/","title":{"rendered":"Ataque de ransomware del mundo RA en el sur de Asia enlaces al conjunto de herramientas de espionaje chino"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Ataque-de-ransomware-del-mundo-RA-en-el-sur-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un ataque de ransomware mundial de RA en noviembre de 2024 dirigido a una compa\u00f1\u00eda de software y servicios asi\u00e1ticos no identificados implic\u00f3 el uso de una herramienta maliciosa utilizada exclusivamente por grupos de ciber espionaje con sede en China, lo que plantea la posibilidad de que el actor de amenaza pueda ser iluminado como un reproductor de ransomware en un individuo capacidad.<\/p>\n<p>&#8220;Durante el ataque a fines de 2024, el atacante despleg\u00f3 un conjunto de herramientas distinto que anteriormente hab\u00eda sido utilizado por un actor vinculado a China en ataques de espionaje cl\u00e1sicos&#8221;, el equipo de cazadores de amenazas de Symantec, parte de Broadcom, <a rel=\"noopener nofollow\" href=\"https:\/\/www.security.com\/threat-intelligence\/chinese-espionage-ransomware\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>&#8220;En todas las intrusiones anteriores que involucraban el conjunto de herramientas, el atacante parec\u00eda estar involucrado en un espionaje cl\u00e1sico, aparentemente interesado \u00fanicamente en mantener una presencia persistente en las organizaciones espec\u00edficas al instalar traseros&#8221;.<\/p>\n<p>Esto incluy\u00f3 un compromiso de julio de 2024 del Ministerio de Relaciones Exteriores de un pa\u00eds en el sudeste de Europa que implic\u00f3 el uso de t\u00e9cnicas cl\u00e1sicas de carga lateral de DLL para implementar el actor ANGLX (tambi\u00e9n conocido como KorPlug), un malware utilizado repetidamente por el actor Mustang Panda (tambi\u00e9n conocido como FireAnt y Reddelta). .<\/p>\n<p>Espec\u00edficamente, las cadenas de ataque implican el uso de un ejecutable leg\u00edtimo de Toshiba llamado &#8220;Toshdpdb.exe&#8221; para que se vaya a una dll maliciosa llamada &#8220;Toshdpapi.dll&#8221;, que, a su vez, act\u00faa como un conducto para cargar la carga \u00fatil de Tugin.<\/p>\n<p>Se han observado otras intrusiones vinculadas al mismo conjunto de herramientas en relaci\u00f3n con ataques dirigidos a dos entidades gubernamentales diferentes en el sureste de Europa y el sudeste asi\u00e1tico en agosto de 2024, un operador de telecomunicaciones en septiembre de 2024 y otro ministerio gubernamental en un pa\u00eds del sudeste asi\u00e1tico diferente en enero de 2025.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, Symantec se\u00f1al\u00f3 que observ\u00f3 que la variante Plugx se implementa en noviembre de 2024 como parte de una campa\u00f1a de extorsi\u00f3n criminal contra una compa\u00f1\u00eda de software y servicios de tama\u00f1o mediano en el sur de Asia.<\/p>\n<p>No est\u00e1 exactamente claro c\u00f3mo se comprometi\u00f3 la red de la compa\u00f1\u00eda, aunque el atacante afirm\u00f3 haberlo hecho explotando un defecto de seguridad conocido en el software PAYA ALTO PAN-OS (CVE-2024-0012). El ataque culmin\u00f3 con las m\u00e1quinas encriptadas con el ransomware RA World, pero no antes de que el binario Toshiba se usara para lanzar el malware Tugx. <\/p>\n<p>En este punto, vale la pena se\u00f1alar que los an\u00e1lisis anteriores de la Unidad 42 de Cisco Talos y Palo Alto Networks han descubierto <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/ra-world-ransomware-group-updates-tool-set\/\" target=\"_blank\">superposici\u00f3n de la artesan\u00eda<\/a> Entre RA World (anteriormente llamado RA Group) y un grupo de amenazas chino conocido como Bronce Starlight (tambi\u00e9n conocido como Storm-401 y Emperor Dragonfly) que tiene una historia de uso de familias de ransomware de corta duraci\u00f3n.<\/p>\n<p>Si bien no se sabe por qu\u00e9 un actor de espionaje tambi\u00e9n est\u00e1 llevando a cabo un ataque con motivaci\u00f3n financiera, Symantec teoriz\u00f3 que un actor solitario probablemente est\u00e1 detr\u00e1s del esfuerzo y que intentaban obtener algunas ganancias r\u00e1pidas en el lado. Esta evaluaci\u00f3n tambi\u00e9n se alinea con el an\u00e1lisis de Sygnia de la lib\u00e9lula del emperador en octubre de 2022, que describi\u00f3 como un &#8220;actor de una sola amenaza&#8221;.<\/p>\n<p>Esta forma de luz de la luna, aunque rara vez se observa en el ecosistema de pirater\u00eda chino, es mucho m\u00e1s frecuente entre los actores de amenaza de Ir\u00e1n y Corea del Norte.<\/p>\n<p>&#8220;Otra forma de actividad de motivaci\u00f3n financiera que respalda los objetivos estatales son los grupos cuya misi\u00f3n principal puede ser un espionaje patrocinado por el estado, ya sea t\u00e1citamente o expl\u00edcitamente, realizar operaciones motivadas financieramente para complementar sus ingresos&#8221;, el Grupo de Inteligencia de Amenazas de Google (GTIG) <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/cybercrime-multifaceted-national-security-threat\" target=\"_blank\">dicho<\/a> En un informe publicado esta semana.<\/p>\n<p>&#8220;Esto puede permitir que un gobierno compense los costos directos que se requerir\u00edan para mantener grupos con capacidades s\u00f3lidas&#8221;.<\/p>\n<h3>Salt Typhoon Explota dispositivos vulnerables de Cisco para violar las empresas de telecomunicaciones<\/h3>\n<p>El desarrollo se produce cuando el grupo de pirater\u00eda de estado-estado chino denominado tif\u00f3n de sal se ha vinculado a un conjunto de ataques cibern\u00e9ticos que aprovechan fallas de seguridad conocidas en los dispositivos de la red Cisco (CVE-2023-20198 y CVE-2023-20273) para penetrar m\u00faltiples redes.<\/p>\n<p>Se eval\u00faa que la actividad cibern\u00e9tica maliciosa ha se\u00f1alado a una afiliada con sede en los Estados Unidos de un significativo proveedor de telecomunicaciones con sede en el Reino Unido, un proveedor de telecomunicaciones sudafricano y un servicio de Internet italiano y un gran proveedor de telecomunicaciones de Tailandia basado en comunicaciones detectadas entre los dispositivos de Cisco infectados entre Cisco infectados y la infraestructura del actor de amenaza.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739485214_201_Ataque-de-ransomware-del-mundo-RA-en-el-sur-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739485214_201_Ataque-de-ransomware-del-mundo-RA-en-el-sur-de.png\" alt=\"\" border=\"0\" data-original-height=\"625\" data-original-width=\"956\"\/><\/a><\/div>\n<p>El <a rel=\"noopener nofollow\" href=\"https:\/\/go.recordedfuture.com\/hubfs\/reports\/cta-cn-2025-0213.pdf\" target=\"_blank\">ataques<\/a> Tuvo lugar entre el 4 de diciembre de 2024 y el 23 de enero de 2025, dijo el grupo Insikt de Future, y agreg\u00f3 el adversario, tambi\u00e9n rastreado como Estries de Tierra, Famiables Sparrow, Ghostemperor, Redmike y UNC2286, intent\u00f3 explotar m\u00e1s de 1,000 dispositivos de cisco global durante los periodo de tiempo.<\/p>\n<p>M\u00e1s de la mitad de los electrodom\u00e9sticos de Cisco objetivo se encuentran en los Estados Unidos, Am\u00e9rica del Sur e India. En lo que parece ser una ampliaci\u00f3n del enfoque de la orientaci\u00f3n, el tif\u00f3n de sal tambi\u00e9n se ha observado dispositivos asociados con m\u00e1s de una docena de universidades en Argentina, Bangladesh, Indonesia, Malasia, M\u00e9xico, los Pa\u00edses Bajos, Tailandia, los Estados Unidos y Vietnam.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738404898_801_Las-autoridades-estadounidenses-y-holandesas-desmantelan-39-dominios-vinculados-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Redmike posiblemente se dirigi\u00f3 a estas universidades para acceder a la investigaci\u00f3n en \u00e1reas relacionadas con las telecomunicaciones, la ingenier\u00eda y la tecnolog\u00eda, particularmente en instituciones como UCLA y Tu Delft&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.recordedfuture.com\/research\/redmike-salt-typhoon-exploits-vulnerable-devices\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>El actor de amenazas sigue un compromiso exitoso que utiliza los privilegios elevados para cambiar la configuraci\u00f3n del dispositivo y agregar un t\u00fanel de encapsulaci\u00f3n de enrutamiento gen\u00e9rico (GRE) para acceso persistente y exfiltraci\u00f3n de datos entre los dispositivos Cisco comprometidos y su infraestructura.<\/p>\n<p>El uso de dispositivos de red vulnerables como puntos de entrada a las v\u00edctimas objetivo se ha convertido en un libro de jugadas est\u00e1ndar para Salt Typhoon y otros grupos de pirater\u00eda chinos como <a rel=\"noopener nofollow\" href=\"https:\/\/securityscorecard.com\/blog\/botnet-is-back-ssc-strike-team-uncovers-a-renewed-cyber-threat\/\" target=\"_blank\">Tif\u00f3n voltio<\/a>en parte, debido al hecho de que carecen de controles de seguridad y no son compatibles con las soluciones de detecci\u00f3n y respuesta de punto final (EDR).<\/p>\n<p>Para mitigar el riesgo planteado por dichos ataques, se recomienda que las organizaciones prioricen la aplicaci\u00f3n de parches de seguridad disponibles y actualizaciones para los dispositivos de red de acceso p\u00fablico y eviten exponer interfaces administrativas o servicios no esenciales a Internet, particularmente para aquellos que han alcanzado el final de Vida (EOL).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/hackers-exploited-pan-os-flaw-to-deploy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un ataque de ransomware mundial de RA en noviembre de 2024 dirigido a una compa\u00f1\u00eda de software y<\/p>\n","protected":false},"author":1,"featured_media":1579017,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14299,1247,4661,1100,4664,9147,38,29632,10315,11109,273784,273783,340,4654,273782,4659,4653,4655,4883,246983,4665,246984,758,455,4660],"class_list":["post-1579016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asia","tag-ataque","tag-ataques-ciberneticos","tag-chino","tag-como-hackear","tag-conjunto","tag-del","tag-enlaces","tag-espionaje","tag-herramientas","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-mundo","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sur","tag-violacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1579016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1579016"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1579016\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1579017"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1579016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1579016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1579016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}