El actor de amenaza vinculado a China conocido como Winnti se ha atribuido a una nueva campa\u00f1a doblada Piedra revival<\/strong> Eso dirigi\u00f3 a las empresas japonesas en los sectores de fabricaci\u00f3n, materiales y energ\u00eda en marzo de 2024.<\/p>\n La actividad, detallado<\/a> Por la compa\u00f1\u00eda japonesa de ciberseguridad LAC, se superpone a un grupo de amenazas rastreado por Trend Micro como Earth Freybug, que se ha evaluado como un subconjunto dentro del Grupo de Espionaje Cibern\u00e9tica APT41, por Cyber \u200b\u200by bajo el nombre de la Operaci\u00f3n Cuckoobees, y por Symantec como Blackfly.<\/p>\n APT41 ha sido descrito como un actor altamente calificado y met\u00f3dico con la capacidad de montar ataques de espionaje, as\u00ed como envenenar la cadena de suministro. Sus campa\u00f1as a menudo est\u00e1n dise\u00f1adas con sigilo en mente, aprovechando un conjunto de t\u00e1cticas para lograr sus objetivos mediante el uso de un conjunto de herramientas personalizado que no solo evita el software de seguridad instalado en el entorno, sino que tambi\u00e9n recolecta informaci\u00f3n cr\u00edtica y establece canales encubiertos para un acceso remoto persistente.<\/p>\n “Las actividades de espionaje del grupo, muchas de las cuales est\u00e1n alineadas con los objetivos estrat\u00e9gicos de la naci\u00f3n, se han dirigido a una amplia gama de sectores de la industria p\u00fablica y privada en todo el mundo”, dijo Lac.<\/p>\n “Los ataques de este grupo de amenazas se caracterizan por el uso de malware Winnti, que tiene un RootKit \u00fanico que permite la ocultaci\u00f3n y manipulaci\u00f3n de las comunicaciones, as\u00ed como el uso de certificados digitales leg\u00edtimos y robados en el malware”.<\/p>\n Winnti, activo desde al menos 2012, ha se\u00f1alado principalmente organizaciones de fabricaci\u00f3n y materiales en Asia a partir de 2022, con campa\u00f1as recientes<\/a> Entre noviembre de 2023 y octubre de 2024, dirigido a la regi\u00f3n de Asia-Pac\u00edfico (APAC) que explota debilidades en aplicaciones de orientaci\u00f3n p\u00fablica como IBM Lotus Domino para implementar malware de la siguiente manera-<\/p>\n Se ha encontrado que la \u00faltima cadena de ataque documentada por LAC explota una vulnerabilidad de inyecci\u00f3n de SQL en un sistema de planificaci\u00f3n de recursos empresariales (ERP) no especificado para eliminar los proyectiles web como China Chopper y detr\u00e1s (tambi\u00e9n conocido como Bingxia e IceScorpion) en el servidor comprometido, utilizando el acceso al acceso Para realizar el reconocimiento, recopilar credenciales para el movimiento lateral y entregar una versi\u00f3n mejorada del malware Winnti.<\/p>\n Se dice que el alcance de la intrusi\u00f3n se expandi\u00f3 a\u00fan m\u00e1s para violar un proveedor de servicios administrado (MSP) aprovechando una cuenta compartida, seguido de armarse la infraestructura de la compa\u00f1\u00eda para propagar el malware a otras tres organizaciones.<\/p>\n Lac dijo que tambi\u00e9n encontr\u00f3 referencias a Treadstone y Stonv5 en la campa\u00f1a de Revivalstone, y el primero es un controlador dise\u00f1ado para trabajar con el malware Winnti y que tambi\u00e9n se incluy\u00f3 en el I-soon (tambi\u00e9n conocido como ansun) fuga<\/a> de el a\u00f1o pasado<\/a> en conexi\u00f3n con un panel de control de malware de Linux.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Winnti-APT41-se-dirige-a-las-empresas-japonesas-en-la.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n