{"id":1609219,"date":"2025-03-06T01:08:38","date_gmt":"2025-03-06T01:08:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-panda-de-loto-apt-chino-se-dirige-a-los-gobiernos-con-nuevas-variantes-de-puerta-trasera-de-sagerunex\/"},"modified":"2025-03-06T01:08:43","modified_gmt":"2025-03-06T01:08:43","slug":"el-panda-de-loto-apt-chino-se-dirige-a-los-gobiernos-con-nuevas-variantes-de-puerta-trasera-de-sagerunex","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-panda-de-loto-apt-chino-se-dirige-a-los-gobiernos-con-nuevas-variantes-de-puerta-trasera-de-sagerunex\/","title":{"rendered":"El panda de loto apt chino se dirige a los gobiernos con nuevas variantes de puerta trasera de Sagerunex"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciber espionaje \/ seguridad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenaza conocido como Panda de loto<\/strong> se ha observado dirigido al gobierno, la fabricaci\u00f3n, las telecomunicaciones y los sectores de medios en Filipinas, Vietnam, Hong Kong y Taiw\u00e1n con versiones actualizadas de una puerta trasera conocida llamada Sagerunex.<\/p>\n

“Lotus Blossom ha estado utilizando la puerta trasera de Sagerunex desde al menos 2016 y est\u00e1 empleando cada vez m\u00e1s proyectiles de comandos de persistencia a largo plazo y desarrollando nuevas variantes de la suite de malware Sagerunex”, el investigador de Cisco Talos Joey Chen dicho<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n

Lotus Panda, tambi\u00e9n conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip, es un presunto equipo de pirater\u00eda chino que est\u00e1 activo desde al menos 2009. El actor de amenaza era Primero expuesto<\/a> por Symantec en junio de 2018.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

A finales de 2022, Symantec, propiedad de Broadcom, detall\u00f3 el ataque del actor de amenaza a una autoridad de certificado digital, as\u00ed como a las agencias gubernamentales y de defensa ubicadas en diferentes pa\u00edses de Asia que involucraban el uso de puertas traseras como Hannotog y Sagerunex.<\/p>\n

Se desconoce el vector de acceso inicial exacto utilizado para violar las entidades en el \u00faltimo conjunto de intrusiones, aunque tiene antecedentes de llevar a cabo ataques de phishing y riego de lanza. La v\u00eda de ataque no especificada sirve como un conducto para el implante Sagerunex, que se eval\u00faa como una evoluci\u00f3n de un malware m\u00e1s antiguo conocido como evora.<\/p>\n

La actividad es notable para el uso de dos nuevas variantes “beta” del malware, que aprovechan los servicios leg\u00edtimos como Dropbox, X y Zimbra como t\u00faneles de comando y control (C2) para evadir la detecci\u00f3n. Se han llamado debido a la presencia de cadenas de depuraci\u00f3n en el c\u00f3digo fuente.<\/p>\n

\"Panda<\/a><\/div>\n

La puerta trasera est\u00e1 dise\u00f1ada para recopilar informaci\u00f3n de host de destino, cifrarla y exfiltrar los detalles a un servidor remoto bajo el control del atacante. Se cree que las versiones Dropbox y X de Sagerunex se utilizaron entre 2018 y 2022, mientras que se dice que la versi\u00f3n Zimbra existi\u00f3 desde 2019.<\/p>\n

“La versi\u00f3n Zimbra Webmail de Sagerunex no solo est\u00e1 dise\u00f1ada para recopilar informaci\u00f3n de v\u00edctimas y enviarla al buz\u00f3n de Zimbra, sino tambi\u00e9n para permitir que el actor use el contenido de Zimbra Mail para dar pedidos y controlar la m\u00e1quina de v\u00edctimas”, dijo Chen.<\/p>\n

“Si hay un contenido de orden de comando leg\u00edtimo en el buz\u00f3n, la puerta trasera descargar\u00e1 el contenido y extraer\u00e1 el comando, de lo contrario, la puerta trasera eliminar\u00e1 el contenido y esperar\u00e1 un comando leg\u00edtimo”.<\/p>\n

Los resultados de la ejecuci\u00f3n del comando se empaquetan posteriormente en forma de archivo RAR y se adjunta a un borrador del correo electr\u00f3nico en el borrador del buz\u00f3n y las carpetas de basura.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Tambi\u00e9n se despliegan en los ataques otras herramientas, como un robador de cookies, para cosechar credenciales de navegador Chrome, una utilidad de proxy de c\u00f3digo abierto llamado Veneno<\/a>un programa para ajustar los privilegios y el software a medida para comprimir y cifrar datos capturados.<\/p>\n

Adem\u00e1s, se ha observado que el actor de amenaza ejecutaba comandos como Net, TaskSist, Ipconfig y NetStat para realizar el reconocimiento del entorno objetivo, adem\u00e1s de llevar a cabo cheques para determinar el acceso a Internet.<\/p>\n

“Si el acceso a Internet est\u00e1 restringido, entonces el actor tiene dos estrategias: usar la configuraci\u00f3n proxy del objetivo para establecer una conexi\u00f3n o usar la herramienta de proxy Venom para vincular las m\u00e1quinas aisladas con sistemas accesibles por Internet”, se\u00f1al\u00f3 Talos.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n