Los sectores gubernamentales y de telecomunicaciones en el sudeste asi\u00e1tico se han convertido en el objetivo de una campa\u00f1a “sofisticada” emprendida por un nuevo grupo avanzado de amenaza persistente (APT) llamada Tierra Kurma<\/strong> desde junio de 2024.<\/p>\n Los ataques, por tendencia micro, han aprovechado los servicios personalizados de malware, RootKits y almacenamiento en la nube para la exfiltraci\u00f3n de datos. Filipinas, Vietnam, Tailandia y Malasia se encuentran entre los objetivos prominentes.<\/p>\n “Esta campa\u00f1a plantea un alto riesgo comercial debido al espionaje objetivo, el robo de credenciales, el punto de apoyo persistente establecido a trav\u00e9s de los ra\u00edces a nivel de n\u00facleo y la exfiltraci\u00f3n de datos a trav\u00e9s de plataformas de nubes de confianza”, los investigadores de seguridad Nick Dai y Sunny Lu dicho<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n Las actividades del actor de amenaza se remontan a noviembre de 2020, con las intrusiones que dependen principalmente de servicios como Dropbox y Microsoft OneDrive para desviar datos confidenciales utilizando herramientas como Tesdat y Simpoboxspy.<\/p>\n Otras dos familias de malware notables en su arsenal incluyen rootkits como Krnrat y Moriya, el \u00faltimo de los cuales se ha observado previamente en ataques dirigidos a organizaciones de alto perfil en Asia y \u00c1frica como parte de una campa\u00f1a de espionaje denominada serpiente de t\u00faneles.<\/p>\n Trend Micro tambi\u00e9n dijo que SimpoBoxspy y el script de exfiltraci\u00f3n utilizado en los ataques comparten superposiciones con otro grupo apto con nombre en c\u00f3digo Toddycat. Sin embargo, una atribuci\u00f3n definitiva sigue sin concluir.<\/p>\n Actualmente no se sabe c\u00f3mo los actores de amenaza obtienen acceso inicial a entornos objetivo. El punto de apoyo inicial se abusa de escanear y realizar un movimiento lateral utilizando una variedad de herramientas como NBTScan, Ladon, FRPC, WMIHacker e ICMPinger. Tambi\u00e9n se implementa un keylogger denominado Kmlog para cosechar credenciales.<\/p>\n Vale la pena se\u00f1alar que el uso de la fuente abierta Ladon<\/a> El marco se ha atribuido previamente a un grupo de pirater\u00eda vinculado a China llamado TA428 (tambi\u00e9n conocido como panda viciosa).<\/p>\n La persistencia en los hosts se realiza por tres cepas de cargador diferentes denominadas Dunloader, Tesdat y DMLoader, que son capaces de cargar cargas \u00fatiles de la pr\u00f3xima etapa en la memoria y ejecutarlas. Estos consisten en balizas de ataque de cobalto, ra\u00edces como Krnrat y Moriya, as\u00ed como malware de exfiltraci\u00f3n de datos.<\/p>\n Lo que distingue a estos ataques es el uso de t\u00e9cnicas de vida-de la tierra (LOTL) para instalar RootKits, donde los piratas inform\u00e1ticos emplean herramientas y caracter\u00edsticas leg\u00edtimas del sistema, en este caso, syssetup.dll, en lugar de introducir malware f\u00e1cilmente detectable.<\/p>\n Mientras que Moriya est\u00e1 dise\u00f1ada para inspeccionar los paquetes TCP entrantes para una carga \u00fatil maliciosa e inyectar shellcode en un proceso “svchost.exe” recientemente engendrado, Krnrat es una amalgamaci\u00f3n de cinco proyectos de c\u00f3digo abierto diferentes con capacidades como la manipulaci\u00f3n de procesos, ocultaci\u00f3n de archivos, direcci\u00f3n de shell-codo, conclamaci\u00f3n de tr\u00e1fico y comando de comando y c-control (c2).<\/p>\n Krnrat, como Moriya, tambi\u00e9n est\u00e1 dise\u00f1ado para cargar un agente en modo de usuario del rootkit e inyectarlo en “svchost.exe”. El agente de modo de usuario sirve como puerta trasera para recuperar una carga \u00fatil de seguimiento del servidor C2. <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Earth-Kurma-se-dirige-al-sudeste-asiatico-con-raices-y.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n