{"id":1639955,"date":"2025-03-26T19:47:50","date_gmt":"2025-03-26T19:47:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran-en-ataques-contra-organizaciones-mexicanas-de-ee-uu-y-mexicanos\/"},"modified":"2025-03-26T19:47:55","modified_gmt":"2025-03-26T19:47:55","slug":"nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran-en-ataques-contra-organizaciones-mexicanas-de-ee-uu-y-mexicanos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran-en-ataques-contra-organizaciones-mexicanas-de-ee-uu-y-mexicanos\/","title":{"rendered":"Nuevas variantes de puerta trasera de gorri\u00f3n que se encuentran en ataques contra organizaciones mexicanas de EE. UU. Y mexicanos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El actor de amenaza china conocido como <strong>Espalda famosa<\/strong> se ha relacionado con un ataque cibern\u00e9tico dirigido a un grupo comercial en los Estados Unidos y un instituto de investigaci\u00f3n en M\u00e9xico para entregar su borrador de puerta trasera insignia y el pade de sombras.<\/p>\n<p>La actividad, observada en julio de 2024, marca la primera vez que el equipo de pirater\u00eda ha desplegado Shadowpad, un malware ampliamente compartido por los actores chinos patrocinados por el estado.<\/p>\n<p>&#8220;Famoussparrow despleg\u00f3 dos versiones previamente indocumentadas de la puerta trasera de Sparrowdoor, una de ellas modular&#8221;, ESET <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News. &#8220;Ambas versiones constituyen un progreso considerable sobre las anteriores e implementan la paralelizaci\u00f3n de los comandos&#8221;.<\/p>\n<p>Famoussparrow fue documentado por primera vez por la compa\u00f1\u00eda de seguridad cibern\u00e9tica eslovaca en septiembre de 2021 en relaci\u00f3n con una serie de ataques cibern\u00e9ticos dirigidos a hoteles, gobiernos, compa\u00f1\u00edas de ingenier\u00eda y firmas de abogados con Sparrowdoor, un implante utilizado exclusivamente por el grupo.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desde entonces, ha habido informes de las superposiciones t\u00e1cticas del colectivo adversario con cl\u00fasteres rastreados como extensiones de tierra, Empera Ghostemperador y, sobre todo, Typhoon de Salt, que se ha atribuido a intrusiones dirigidas al sector de las telecomunicaciones.<\/p>\n<p>Sin embargo, ESET se\u00f1al\u00f3 que est\u00e1 tratando a Famoussparrow como un grupo de amenazas distinto con algunos v\u00ednculos sueltos con las estr\u00edas de la Tierra derivadas de los paralelos con el crowroor y la hemigante.<\/p>\n<p>La cadena de ataque involucra al actor de amenaza que implementa un shell web en un servidor de servicios de informaci\u00f3n de Internet (IIS), aunque todav\u00eda se desconoce el mecanismo preciso utilizado para lograr esto. Se dice que ambas v\u00edctimas estaban ejecutando versiones obsoletas de Windows Server y Microsoft Exchange Server.<\/p>\n<p>El shell web act\u00faa como un conducto para soltar un script por lotes de un servidor remoto, que, a su vez, lanza un shell web .NET codificado Base64 integrado dentro de \u00e9l. Este shell web finalmente es responsable de implementar Sparrowdoor y Shadowpad.<\/p>\n<p>Eset dijo que una de las versiones de Sparrowdoor se asemeja a CURNCEROOR, aunque ambas variantes presentan mejoras significativas sobre su predecesor. Esto incluye la capacidad de ejecutar simult\u00e1neamente comandos que consumen mucho tiempo, como la E\/S de archivos y el Shell Interactive, lo que permite que la puerta trasera procese las instrucciones entrantes mientras se ejecutan.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743018469_68_Nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743018469_68_Nuevas-variantes-de-puerta-trasera-de-gorrion-que-se-encuentran.png\" alt=\"Patera de gorri\u00f3n\" border=\"0\" data-original-height=\"579\" data-original-width=\"728\" title=\"Patera de gorri\u00f3n\"\/><\/a><\/div>\n<p>&#8220;Cuando la puerta trasera recibe uno de estos comandos, crea un hilo que inicia una nueva conexi\u00f3n con el servidor de C&#038;C&#8221;, dijo el investigador de seguridad Alexandre C\u00f4t\u00e9 Cyr. &#8220;La ID de v\u00edctima \u00fanica se env\u00eda a trav\u00e9s de la nueva conexi\u00f3n junto con una ID de comando que indica el comando que condujo a esta nueva conexi\u00f3n&#8221;.<\/p>\n<p>&#8220;Esto permite que el servidor C&#038;C realice un seguimiento de qu\u00e9 conexiones est\u00e1n relacionadas con la misma v\u00edctima y cu\u00e1les son sus prop\u00f3sitos. Cada uno de estos subprocesos puede manejar un conjunto espec\u00edfico de submands&#8221;.<\/p>\n<p>Sparrowdoor tiene una amplia gama de comandos que le permiten iniciar un proxy, lanzar sesiones de shell interactivas, realizar operaciones de archivos, enumerar el sistema de archivos, recopilar informaci\u00f3n del host e incluso desinstalarlo.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En contraste, la segunda versi\u00f3n de la puerta trasera es modular y marcadamente diferente de otros artefactos, adoptando un enfoque basado en complementos para realizar sus objetivos. Admite hasta nueve m\u00f3dulos diferentes &#8211;<\/p>\n<ul>\n<li>CMD &#8211; Ejecute un solo comando<\/li>\n<li>CFILE &#8211; Realizar operaciones del sistema de archivos<\/li>\n<li>Ckeylogplug &#8211; Log keyStrokes<\/li>\n<li>CSocket &#8211; Inicie un proxy TCP<\/li>\n<li>Cshell &#8211; Comience una sesi\u00f3n de shell interactiva<\/li>\n<li>CTRANSF: inicie la transferencia de archivos entre el host de Windows comprometido y el servidor C&#038;C<\/li>\n<li>CRDP &#8211; Toma capturas de pantalla<\/li>\n<li>CPRO &#8211; Lista de procesos de ejecuci\u00f3n y mata a los espec\u00edficos<\/li>\n<li>Cfilemoniter: monitorear los cambios del sistema de archivos para directorios especificados<\/li>\n<\/ul>\n<p>&#8220;Esta actividad reci\u00e9n encontrada indica que el grupo no solo sigue operando, sino que tambi\u00e9n estaba desarrollando activamente nuevas versiones de Sparrowdoor durante este tiempo&#8221;, dijo Eset.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/new-sparrowdoor-backdoor-variants-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de marzo de 2025\ue804Ravie LakshmananMalware \/ vulnerabilidad El actor de amenaza china conocido como Espalda famosa se<\/p>\n","protected":false},"author":1,"featured_media":1639956,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,110,5252,142972,273784,273783,56897,36534,4654,273782,4659,4653,4655,2498,11924,1732,246983,4665,246984,7157,3769,455,239484],"class_list":["post-1639955","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-contra","tag-encuentran","tag-gorrion","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-mexicanas","tag-mexicanos","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-organizaciones","tag-puerta","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-trasera","tag-variantes","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1639955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1639955"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1639955\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1639956"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1639955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1639955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1639955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}