La compa\u00f1\u00eda de ciberseguridad Sentinelone ha revelado que un cl\u00faster de amenaza de China-Nexus denominado Morado<\/strong> realiz\u00f3 intentos de reconocimiento contra su infraestructura y algunos de sus clientes de alto valor.<\/p>\n “Primero nos dimos cuenta de este cl\u00faster de amenazas durante una intrusi\u00f3n de 2024 realizada contra una organizaci\u00f3n que previamente brinda servicios de log\u00edstica de hardware para empleados de Sentinelone”, los investigadores de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter dicho<\/a> en un an\u00e1lisis publicado el lunes.<\/p>\n Se eval\u00faa que Purplehaze es un equipo de pirater\u00eda con lazos sueltos con otro grupo patrocinado por el estado conocido como APT15, que tambi\u00e9n se rastrea como Flea, Nylon Typhoon (anteriormente N\u00edquel), Tauro juguet\u00f3n, Royal Apt y Vixen Panda.<\/p>\n El colectivo adversario tambi\u00e9n se ha observado dirigido a una entidad que respalda el gobierno del sur de Asia en octubre de 2024, empleando una red de caja de relevos operativos (ORB) y una puerta trasera de Windows denominada Goreshell.<\/p>\n El implante, escrito en el lenguaje de programaci\u00f3n GO, reutiliza una herramienta de c\u00f3digo abierto llamada reverse_ssh<\/a> Para configurar las conexiones SSH inversas en puntos finales bajo el control del atacante.<\/p>\n “El uso de redes ORB es una tendencia creciente entre estos grupos de amenazas, ya que se pueden ampliar r\u00e1pidamente para crear una infraestructura din\u00e1mica y en evoluci\u00f3n que hace que el seguimiento de las operaciones cibern\u00e9ticas y su atribuci\u00f3n desaf\u00eden”, se\u00f1alaron los investigadores.<\/p>\n Un an\u00e1lisis posterior ha determinado que la misma entidad gubernamental del sur de Asia tambi\u00e9n fue atacada anteriormente en junio de 2024 con Shadowpad (tambi\u00e9n conocido como Poisonplug), un patio trasero conocido ampliamente compartido entre los grupos de espionaje de China-Nexus. ShadowPad se considera un sucesor de otra puerta trasera denominada complemento.<\/p>\n Dicho esto, con Shadowpad tambi\u00e9n utilizando como un conducto para entregar ransomware en los \u00faltimos meses, la motivaci\u00f3n exacta detr\u00e1s del ataque sigue sin estar clara. Se ha encontrado que los artefactos de Shadowpad se ofuscan utilizando un compilador a medida llamado Cabeza de chorlito<\/a>.<\/p>\n Todav\u00eda se desconoce la naturaleza exacta de la superposici\u00f3n entre la actividad de junio de 2024 y los ataques posteriores de Purplehaze. Sin embargo, se cree que el mismo actor de amenaza podr\u00eda estar detr\u00e1s de ellos.<\/p>\n Se estima que el shadowpad obfusco de dispersi\u00f3n se ha empleado en intrusiones dirigidas a m\u00e1s de 70 organizaciones que abarcan sectores de fabricaci\u00f3n, gobierno, finanzas, telecomunicaciones y de investigaci\u00f3n despu\u00e9s de que probablemente exploten una vulnerabilidad de N-Day en los dispositivos de puerta de enlace de punto de control.<\/p>\n Una de las v\u00edctimas de estos ataques incluy\u00f3 la organizaci\u00f3n que fue responsable de administrar la log\u00edstica de hardware para los empleados de Sentinelone. Sin embargo, la firma de ciberseguridad se\u00f1al\u00f3 que no encontr\u00f3 evidencia de un compromiso secundario.<\/p>\n No es solo China, porque Sentinelone dijo que tambi\u00e9n observ\u00f3 intentos realizados por los trabajadores de TI alineados en Corea del Norte para asegurar empleos en la compa\u00f1\u00eda, incluido su equipo de ingenier\u00eda de inteligencia Sentinellabs, a trav\u00e9s de aproximadamente 360 \u200b\u200bpersonajes falsos y m\u00e1s de 1,000 solicitudes de empleo.<\/p>\n Por \u00faltimo, pero no menos importante, los operadores de ransomware se han dirigido a Sentinelone y otras plataformas de seguridad centradas en la empresa, intentando obtener acceso a sus herramientas para evaluar la capacidad de su software para evadir la detecci\u00f3n.<\/p>\n Esto es alimentado por una econom\u00eda subterr\u00e1nea activa que gira en torno a comprar, vender y alquilar acceso a las ofertas de seguridad empresarial en aplicaciones de mensajer\u00eda, as\u00ed como en foros como XSS[.]es, exploit[.]en y rampa.<\/p>\n “Han surgido ofertas de servicios completos en torno a este ecosistema, incluidas ‘pruebas EDR como servicio’, donde los actores pueden evaluar discretamente malware con diversas plataformas de protecci\u00f3n de puntos finales”, explicaron los investigadores.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Sentinelone-descubre-la-campana-de-espionaje-chino-dirigido-a-su.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n