{"id":1681657,"date":"2025-04-22T06:31:49","date_gmt":"2025-04-22T06:31:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/lotus-panda-hacks-gobiernos-asiaticos-se-con-robadores-de-navegador-y-malware-latido\/"},"modified":"2025-04-22T06:31:54","modified_gmt":"2025-04-22T06:31:54","slug":"lotus-panda-hacks-gobiernos-asiaticos-se-con-robadores-de-navegador-y-malware-latido","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lotus-panda-hacks-gobiernos-asiaticos-se-con-robadores-de-navegador-y-malware-latido\/","title":{"rendered":"Lotus Panda hacks gobiernos asi\u00e1ticos SE con robadores de navegador y malware latido"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciber espionaje \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El Grupo de Espionaje Cibern\u00e9tico vinculado a China rastreado como Lotus Panda se ha atribuido a una campa\u00f1a que comprometi\u00f3 m\u00faltiples organizaciones en un pa\u00eds del sudeste asi\u00e1tico sin nombre entre agosto de 2024 y febrero de 2025.<\/p>\n

“Los objetivos inclu\u00edan un ministerio gubernamental, una organizaci\u00f3n de control de tr\u00e1fico a\u00e9reo, un operador de telecomunicaciones y una empresa de construcci\u00f3n”, el equipo de Symantec Amenazing Hunter dicho<\/a> En un nuevo informe compartido con The Hacker News. “Los ataques involucraron el uso de m\u00faltiples herramientas personalizadas nuevas, incluidos cargadores, robadores de credenciales y una herramienta SSH inversa”.<\/p>\n

Tambi\u00e9n se dice que el set de intrusi\u00f3n se dirigi\u00f3 a una agencia de noticias ubicada en otro pa\u00eds del sudeste asi\u00e1tico y una organizaci\u00f3n de carga a\u00e9rea ubicada en otro pa\u00eds vecino. <\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El grupo de amenazas, seg\u00fan la Divisi\u00f3n de Ciberseguridad de Broadcom, se eval\u00faa como una continuaci\u00f3n de una campa\u00f1a que fue revelada por la compa\u00f1\u00eda en diciembre de 2024 como una organizaci\u00f3n de alto perfil en el sudeste asi\u00e1tico desde al menos octubre de 2023.<\/p>\n

Luego, el mes pasado, Cisco Talos conect\u00f3 al actor de Lotus Panda con intrusiones dirigidas al gobierno, la fabricaci\u00f3n, las telecomunicaciones y los sectores de medios en Filipinas, Vietnam, Hong Kong y Taiw\u00e1n con una puerta trasera conocida como Sagerunex.<\/p>\n

Lotus Panda (tambi\u00e9n conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip) tiene una historia de orquestar ataques cibern\u00e9ticos contra gobiernos y organizaciones militares en el sudeste asi\u00e1tico.<\/p>\n

Se cree que est\u00e1 activo desde al menos 2009, el grupo estuvo bajo el centro de atenci\u00f3n por primera vez en junio de 2015 cuando Palo Alto Networks atribuido<\/a> El actor de amenaza de una campa\u00f1a persistente de phishing de lanza que explot\u00f3 un defecto de Microsoft Office (CVE-2012-0158<\/a>) para distribuir una puerta trasera denominada Elise (tambi\u00e9n conocida como Trensil) dise\u00f1ada para ejecutar comandos y leer\/escribir archivos.<\/p>\n

Los ataques posteriores montados por el grupo tienen armado<\/a> una falla de Microsoft Windows Ole (CVE-2014-6332<\/a>) a trav\u00e9s de un archivo adjunto atrapado en un Correo electr\u00f3nico de phishing de lanza<\/a> a un individuo que trabaja para el Ministerio de Asuntos Exteriores de Francia en Taiw\u00e1n para desplegar otro troyano relacionado con Elise Codenamed Emissary.<\/p>\n

En la \u00faltima ola de ataques vistos por Symantec, los atacantes han aprovechado los ejecutables leg\u00edtimos de Trend Micro (“TMDBGlog.exe”) y Bitdefender (“BDS.EXE”) a los archivos DLL maliciosos, que act\u00faan como cargadores para descifrar y lanzar una carga \u00fatil de la pr\u00f3xima etapa en un archivo almacenado localizado.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El binario bitdefender tambi\u00e9n se ha utilizado para dejar de revelar otra DLL, aunque la naturaleza exacta del archivo no est\u00e1 clara. Otro aspecto desconocido de la campa\u00f1a es el vector de acceso inicial utilizado para llegar a las entidades en cuesti\u00f3n.<\/p>\n

Los ataques allanaron el camino para una versi\u00f3n actualizada de Sagerunex, una herramienta utilizada exclusivamente por Lotus Panda. Viene con capacidades para recolectar informaci\u00f3n del host del objetivo, encriptarla y exfiltrar los detalles a un servidor externo bajo el control del atacante.<\/p>\n

Tambi\u00e9n se implementan en los ataques una herramienta SSH inversa, y dos robadores de credenciales Chromekatz y Credentialkatz que est\u00e1n equipados para desviar las contrase\u00f1as y las cookies almacenadas en el navegador web Google Chrome.<\/p>\n

“Los atacantes desplegaron la herramienta de pares ZROK disponible p\u00fablicamente, utilizando la funci\u00f3n de intercambio de la herramienta para proporcionar acceso remoto a los servicios que se expusieron internamente”, dijo Symantec. “Otra herramienta leg\u00edtima utilizada se llam\u00f3 ‘DataChanger.exe’. Es capaz de cambiar las marcas de tiempo para los archivos, presumiblemente para enturbiar las aguas para los analistas de incidentes.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n