El actor de amenaza vinculado a China conocido como UNC5174 se ha atribuido a una nueva campa\u00f1a que aprovecha una variante de un malware conocido denominado Snowlight y una nueva herramienta de c\u00f3digo abierto llamada Vshell para infectar a los sistemas Linux.<\/p>\n
“Los actores de amenaza est\u00e1n utilizando cada vez m\u00e1s herramientas de c\u00f3digo abierto en sus arsenales para la rentabilidad y la ofuscaci\u00f3n para ahorrar dinero y, en este caso, se mezclan plausiblemente con el grupo de adversarios no patrocinados y a menudo menos t\u00e9cnicos (por ejemplo, guiones de guiones), lo que hace que la atribuci\u00f3n sea a\u00fan m\u00e1s dif\u00edcil”, el investigador de sysdig alessandra rizzo rizzo rizzo rizzo rizzo rizzo) dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n “Esto parece ser especialmente cierto para este particular actor de amenaza<\/a>que ha estado bajo el radar durante el \u00faltimo a\u00f1o desde que estuvo afiliado al gobierno chino “.<\/p>\n UNC5174, tambi\u00e9n conocido como Uteus (o UETUS), fue previamente documentado por Mandiant, propiedad de Google, como fallas de seguridad de explotaci\u00f3n en Connectwise ScreenConnect y F5 Big-IP Software para entregar un descargador de elfo basado en C llamado Snowly, que est\u00e1 dise\u00f1ado para obtener un T\u00faneler de Golang Dubbed Goheavy de Infrastructure Canded a un comando disponible en p\u00fablico. Supershell.<\/p>\n Tambi\u00e9n se despleg\u00f3 en los ataques Goreverse, una puerta trasera de Shell Inverse de Shell disponible p\u00fablicamente escrita en Golang que funciona a trav\u00e9s de Secure Shell (SSH).<\/p>\n La Agencia Nacional Francesa para la Seguridad de los Sistemas de Informaci\u00f3n (ANSSI), en su Informe de descripci\u00f3n general de amenazas cibern\u00e9ticas<\/a> Para 2024 publicado el mes pasado, dijo que observ\u00f3 a un atacante que emplea una tradicci\u00f3n similar a la de UNC5174 para armarse fallas de seguridad en el dispositivo de servicio en la nube Ivanti (CSA), como CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190 para obtener el control y el c\u00f3digo arbitrario.<\/p>\n “Moderadamente sofisticado y discreto, este conjunto de intrusiones se caracteriza por el uso de herramientas de intrusi\u00f3n en gran medida disponibles como c\u00f3digo abierto y por el uso de un c\u00f3digo RootKit”, ya informado p\u00fablicamente, “, dijo el ANSSI.<\/p>\n Vale la pena se\u00f1alar que tanto la luz contra la nieve como las vshell son capaces de dirigido a los sistemas de Apple MacOS<\/a>con este \u00faltimo distribuido como una aplicaci\u00f3n de autenticador falso de CloudFlare como parte de una cadena de ataque a\u00fan no detectada, seg\u00fan una An\u00e1lisis de artefactos<\/a> Subido a Virustotal desde China en octubre de 2024.<\/p>\n En la cadena de ataque observada por Sysdig a fines de enero de 2025, el malware de la luz de nieve act\u00faa como un gotero para una carga \u00fatil en memoria sin archivo llamada Vshell, un troyano de acceso remoto (rata) ampliamente utilizado por los ciberdelincuentes de habla china. El vector de acceso inicial utilizado para el ataque se desconoce actualmente.<\/p>\n Espec\u00edficamente, el acceso inicial se utiliza para ejecutar un script bash malicioso (“download_backd.sh”) que despliega dos binarios asociados con la linda (DNSLOGER) y Sliver (System_Worker), que se utilizan para configurar la persistencia y establecer comunicaciones con un servidor C2.<\/p>\n La etapa final del ataque ofrece Vshell<\/a> a trav\u00e9s de Snowlight por medio de una solicitud especialmente elaborada al servidor C2, lo que permite el control remoto y una mayor explotaci\u00f3n posterior a la compromiso.<\/p>\n “[VShell] Act\u00faa como una rata (troyano de acceso remoto), permitiendo a sus abusadores ejecutar comandos arbitrarios y descargar o cargar archivos “, dijo Rizzo.” Snowlight y Vshell representan un riesgo significativo para las organizaciones debido a sus t\u00e9cnicas sigilosas y sofisticadas “, dijo Sysdig.” Esto est\u00e1 evidenciado por el empleo de websockets para el comando y las controlas, as\u00ed como tambi\u00e9n los pasos sin trampas, as\u00ed como la carga de filtro de filtro “.” “.” “.<\/p>\n La divulgaci\u00f3n se produce como Teamt5 revel\u00f3<\/a> Que un grupo de pirater\u00eda de China-Nexus probablemente explot\u00f3 fallas de seguridad en los electrodom\u00e9sticos Ivanti (CVE-2025-0282 y CVE-2025-22457) para obtener acceso inicial e implementar el malware Spawnchimera.<\/p>\n Los ataques, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica taiwanesa, se dirigieron a una multitud de sectores que abarcan casi 20 pa\u00edses diferentes, como Austria, Australia, Francia, Espa\u00f1a, Jap\u00f3n, Corea del Sur, Pa\u00edses Bajos, Singapur, Taiw\u00e1n, Emiratos \u00c1rabes Unidos, Reino Unido y Estados Unidos.<\/p>\n Los hallazgos tambi\u00e9n cola de cola con acusaciones<\/a> de China que la Agencia de Seguridad Nacional de los Estados Unidos (NSA) lanzado<\/a> Los ataques cibern\u00e9ticos “avanzados” durante los Juegos de Invierno Asi\u00e1ticos en febrero, se\u00f1alando los dedos a tres agentes de la NSA por ataques repetidos contra la infraestructura de informaci\u00f3n cr\u00edtica de China, as\u00ed como contra Huawei.<\/p>\n “En los Noveno Juegos de Invierno Asi\u00e1ticos, el gobierno de los Estados Unidos realiz\u00f3 ataques cibern\u00e9ticos sobre los sistemas de informaci\u00f3n de los Juegos y la Infraestructura de Informaci\u00f3n Cr\u00edtica en Heilongjiang”, el portavoz del Ministerio de Relaciones Exteriores, Lin Jian dicho<\/a>. “Este movimiento es atroz porque pone en peligro severamente la seguridad de la infraestructura de informaci\u00f3n cr\u00edtica de China, la defensa nacional, las finanzas, la sociedad y la producci\u00f3n, as\u00ed como la informaci\u00f3n personal de sus ciudadanos”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-hackers-chinos-apuntan-a-sistemas-Linux-Linux-utilizando-malware.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n