{"id":1650088,"date":"2025-04-02T02:55:48","date_gmt":"2025-04-02T02:55:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/earth-alux-unida-a-china-usa-vargeit-y-cobeacon-en-intrusiones-ciberneticas-de-varias-etapas\/"},"modified":"2025-04-02T02:55:53","modified_gmt":"2025-04-02T02:55:53","slug":"earth-alux-unida-a-china-usa-vargeit-y-cobeacon-en-intrusiones-ciberneticas-de-varias-etapas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/earth-alux-unida-a-china-usa-vargeit-y-cobeacon-en-intrusiones-ciberneticas-de-varias-etapas\/","title":{"rendered":"Earth Alux unida a China usa Vargeit y Cobeacon en intrusiones cibern\u00e9ticas de varias etapas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Earth-Alux-unida-a-China-usa-Vargeit-y-Cobeacon-en.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han arrojado luz sobre un nuevo actor de amenaza vinculada a China <strong>Tierra alux<\/strong> Eso ha apuntado a varios sectores clave como el gobierno, la tecnolog\u00eda, la log\u00edstica, la fabricaci\u00f3n, las telecomunicaciones, los servicios de TI y el comercio minorista en las regiones de Asia-Pac\u00edfico (APAC) y Am\u00e9rica Latina (LATAM).<\/p>\n<p>&#8220;El primer avistamiento de su actividad fue en el segundo trimestre de 2023; en aquel entonces, se observ\u00f3 predominantemente en la regi\u00f3n de APAC&#8221;, los investigadores de la tendencia Lenart Bermejo, Ted Lee y Theo Chen <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/the-espionage-toolkit-of-earth-alux.html\" target=\"_blank\">dicho<\/a> En un informe t\u00e9cnico publicado el lunes. &#8220;A mediados de 2024, tambi\u00e9n fue visto en Am\u00e9rica Latina&#8221;.<\/p>\n<p>Los objetivos principales de los pa\u00edses del tramo colectivo adversario como Tailandia, Filipinas, Malasia, Taiw\u00e1n y Brasil.<\/p>\n<p>Las cadenas de infecci\u00f3n comienzan con la explotaci\u00f3n de servicios vulnerables en aplicaciones web expuestas a Internet, utiliz\u00e1ndolas para soltar el shell web de Godzilla para facilitar el despliegue de cargas \u00fatiles adicionales, incluidas las puertas traseras denominadas Vargeit y Cobeacon (tambi\u00e9n conocido como Cobalt Strike Beacon).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vargeit ofrece la capacidad de cargar herramientas directamente desde su servidor de comando y control (C&#038;C) a un proceso recientemente generado de Microsoft Paint (&#8220;msPaint.exe&#8221;) para facilitar el reconocimiento, la recolecci\u00f3n y la exfiltraci\u00f3n.<\/p>\n<p>&#8220;Vargeit es tambi\u00e9n el m\u00e9todo principal a trav\u00e9s del cual Earth Alux opera herramientas suplementarias para diversas tareas, como el movimiento lateral y el descubrimiento de redes de manera sin archivo&#8221;, dijeron los investigadores.<\/p>\n<p>Un punto que vale la pena mencionar aqu\u00ed es que, si bien Vargeit se usa como una puerta trasera primera, segunda o etapa posterior, Cobeacon se emplea como puerta trasera en la primera etapa. Este \u00faltimo se lanza mediante un cargador denominado maskloader, o mediante rsbinject, un cargador de shell -code de l\u00ednea de comandos basado en \u00f3xido.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Earth-Alux-unida-a-China-usa-Vargeit-y-Cobeacon-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Earth-Alux-unida-a-China-usa-Vargeit-y-Cobeacon-en.png\" alt=\"\" border=\"0\" data-original-height=\"969\" data-original-width=\"1188\"\/><\/a><\/div>\n<p>Tambi\u00e9n se han observado iteraciones posteriores de MASQLoader implementando una t\u00e9cnica de enganche anti-API que sobrescribe cualquier gancho de NTDLL.DLL insertado por programas de seguridad para detectar procesos sospechosos que se ejecutan en Windows, lo que permite que el malware y la carga de pago integrado vuelan bajo el radar.<\/p>\n<p>La ejecuci\u00f3n de VargeIT da como resultado la implementaci\u00f3n de m\u00e1s herramientas, incluido un componente de cargador con nombre en c\u00f3digo Railload que se ejecuta utilizando una t\u00e9cnica conocida como carga lateral de DLL, y se utiliza para ejecutar una carga \u00fatil cifrada ubicada en una carpeta diferente. <\/p>\n<p>La segunda carga \u00fatil es una persistencia y <a rel=\"noopener nofollow\" href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/anti-forensic-tactics\/anti-forensics-tactics-timestomping\" target=\"_blank\">timborming<\/a> El m\u00f3dulo se conoce como RailSetter que altera las marcas de tiempo asociadas con los artefactos de Railload en el host comprometido, junto con la creaci\u00f3n de una tarea programada para lanzar Railload.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743562547_879_Earth-Alux-unida-a-China-usa-Vargeit-y-Cobeacon-en.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743562547_879_Earth-Alux-unida-a-China-usa-Vargeit-y-Cobeacon-en.png\" alt=\"\" border=\"0\" data-original-height=\"470\" data-original-width=\"834\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Vargeit y la interacci\u00f3n del controlador<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&#8220;MasqLoader tambi\u00e9n est\u00e1 siendo utilizado por otros grupos adem\u00e1s de la Tierra Alux&#8221;, dijo Trend Micro. &#8220;Adem\u00e1s, la diferencia en la estructura del c\u00f3digo de MasqLoader en comparaci\u00f3n con otras herramientas como Railsetter y Railload sugiere que el desarrollo de MasqLoader est\u00e1 separado de esos conjuntos de herramientas&#8221;.<\/p>\n<p>El aspecto m\u00e1s distintivo de Vargeit es su capacidad para admitir 10 canales diferentes para las comunicaciones C&#038;C a trav\u00e9s de HTTP, TCP, UDP, ICMP, DNS y Microsoft Outlook, la \u00faltima de las cuales aprovecha la API de gr\u00e1ficos para intercambiar comandos en un formato predeterminado utilizando la carpeta de borradores de un cilbebro de turbo atacante.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Espec\u00edficamente, el mensaje del servidor C&#038;C se prepara con R_, mientras que los de la puerta trasera est\u00e1n prefijadas con P_. Entre su amplia gama de funciones se encuentra la extensa recopilaci\u00f3n de datos y la ejecuci\u00f3n de comandos, lo que lo convierte en un potente malware en el arsenal del actor de amenaza.<\/p>\n<p>&#8220;Earth Alux realiza varias pruebas con Railload y Railsetter&#8221;, dijo Trend Micro. &#8220;Estos incluyen pruebas de detecci\u00f3n e intentos de encontrar nuevos hosts para la carga lateral de DLL. Las pruebas de carga lateral de DLL involucran a ZeroEye, una herramienta de c\u00f3digo abierto popular dentro de la comunidad de habla china, para escanear las tablas de importaci\u00f3n de archivos EXE para DLL importadas que se pueden abusar de la carga lateral&#8221;. <\/p>\n<p>Tambi\u00e9n se ha encontrado que el grupo de pirater\u00eda utiliza Virtest, otra herramienta de prueba ampliamente utilizada por la comunidad de habla china, para garantizar que sus herramientas sean lo suficientemente sigilosas como para mantener el acceso a largo plazo a los entornos objetivo.<\/p>\n<p>&#8220;Earth Alux representa una amenaza sofisticada y en evoluci\u00f3n del ciberiopionaje, aprovechando un juego de herramientas diverso y t\u00e9cnicas avanzadas para infiltrarse y comprometer una variedad de sectores, particularmente en la regi\u00f3n de APAC y Am\u00e9rica Latina&#8221;, concluyeron los investigadores. &#8220;Las pruebas continuas del grupo de sus herramientas indican adem\u00e1s un compromiso de refinar sus capacidades y evadir la detecci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/china-linked-earth-alux-uses-vargeit.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han arrojado luz sobre un nuevo actor de amenaza vinculada a China Tierra alux<\/p>\n","protected":false},"author":1,"featured_media":1650089,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,291687,4661,73,7614,291689,4664,25237,47066,76615,273784,273783,4654,273782,4659,4653,4655,246983,4665,246984,38280,10875,291688,8772,455,239484],"class_list":["post-1650088","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alux","tag-ataques-ciberneticos","tag-china","tag-ciberneticas","tag-cobeacon","tag-como-hackear","tag-earth","tag-etapas","tag-intrusiones","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-unida","tag-usa","tag-vargeit","tag-varias","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1650088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1650088"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1650088\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1650089"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1650088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1650088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1650088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}