Un cl\u00faster de actividad de amenazas previamente desconocido dirigi\u00f3 a las organizaciones europeas, particularmente aquellas en el sector de la salud, para implementar a Plugx y su sucesor, ShadowPad, con las intrusiones que finalmente conducen al despliegue de un ransomware llamado Nailaolocker en algunos casos.<\/p>\n
La campa\u00f1a, con nombre en c\u00f3digo Green Nailao de Orange CyberDefense Cert, implic\u00f3 la explotaci\u00f3n de una falla de seguridad nueva en Check Point Network Gateway Products (CVE-2024-24919, puntaje CVSS: 7.5). Los ataques se observaron entre junio y octubre de 2024.<\/p>\n
“La campa\u00f1a se bas\u00f3 en el secuestro de orden de b\u00fasqueda de DLL para implementar ShadowPad y Plugx: dos implantes a menudo asociados con las intrusiones dirigidas por China-Nexus”, la compa\u00f1\u00eda dicho<\/a> En un informe t\u00e9cnico compartido con Hacker News.<\/p>\n Se dice que el acceso inicial brindado por la explotaci\u00f3n de instancias de punto de control vulnerables permiti\u00f3 a los actores de amenaza recuperar las credenciales de los usuarios y conectarse a la VPN utilizando una cuenta leg\u00edtima.<\/p>\n En la siguiente etapa, los atacantes llevaron a cabo el reconocimiento de la red y el movimiento lateral a trav\u00e9s del Protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecuci\u00f3n de un binario leg\u00edtimo (“Logger.exe”) para acertar una dll deshilachada (“Logexts.dll” ) que luego sirve como cargador para una nueva versi\u00f3n del malware ShadowPad.<\/p>\n Se ha encontrado que las iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan la artesan\u00eda similar para entregar a Plugx, que tambi\u00e9n emplea la carga lateral de DLL utilizando un ejecutable de McAfee (“mcoemcpy.exe”) a Sideload “mcutil.dll”.<\/p>\n Al igual que Plugx, ShadowPad es un malware vendido privado que es utilizado exclusivamente por los actores de espionaje chinos desde al menos 2015. La variante identificada por Orange CyberDefense CERT presenta una ofuscaci\u00f3n sofisticada y medidas anti-debug, junto con la comunicaci\u00f3n con un servidor remoto para crear acceso remoto persistente a un acceso remoto a la persistente a Sistemas de v\u00edctimas. <\/p>\n Hay evidencia que sugiere que los actores de amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos zip. Las intrusiones culminan con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable leg\u00edtimo firmado por Beijing Huorong Network Technology Co., Ltd (“usysdiag.exe”), un cargador llamado Nailaoloader (“Sensapi.dll”) , y Nailaolocker (“usysdiag.exe.dat”).<\/p>\n Una vez m\u00e1s, el archivo DLL se acompa\u00f1a a trav\u00e9s de “usysdiag.exe” para descifrar y activar la ejecuci\u00f3n de Nailaolocker, un ransomware basado en C ++ que encripta los archivos, los agrega con una extensi\u00f3n “. Para realizar un pago de bitcoin o contactarlos en una direcci\u00f3n de correo de protones.<\/p>\n “Nailaolocker es relativamente poco sofisticado y mal dise\u00f1ado, aparentemente no tiene la intenci\u00f3n de garantizar el cifrado completo”, dijeron los investigadores Marine Pichon y Alexis Bonnefoi.<\/p>\n “No escanea las acciones de la red, no detiene los servicios o procesos que podr\u00edan evitar el cifrado de ciertos archivos importantes, [and] No controla si se est\u00e1 depurando “.<\/p>\n Orange ha atribuido la actividad con confianza media a un actor de amenaza alineado en chino debido al uso del implante de shadowpad, el uso de t\u00e9cnicas de carga lateral de DLL y el hecho de que se han atribuido esquemas de ransomware similares a otro grupo de amenazas chino denominado Luz de las estrellas.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Los-atacantes-vinculados-a-los-chinos-explotan-la-falla-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n