{"id":1695121,"date":"2025-04-30T16:25:21","date_gmt":"2025-04-30T16:25:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-abusan-de-ipv6-slaac-para-ataques-aitm-a-traves-de-la-herramienta-de-movimiento-lateral-de-spellbinder\/"},"modified":"2025-04-30T16:25:28","modified_gmt":"2025-04-30T16:25:28","slug":"los-piratas-informaticos-chinos-abusan-de-ipv6-slaac-para-ataques-aitm-a-traves-de-la-herramienta-de-movimiento-lateral-de-spellbinder","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-abusan-de-ipv6-slaac-para-ataques-aitm-a-traves-de-la-herramienta-de-movimiento-lateral-de-spellbinder\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos abusan de IPv6 SLAAC para ataques AITM a trav\u00e9s de la herramienta de movimiento lateral de Spellbinder"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad de malware \/ DNS<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un grupo avanzado de amenaza persistente (APT) alineada por China Thewizards<\/strong> se ha relacionado con una herramienta de movimiento lateral llamada SpellBinder que puede facilitar los ataques adversarios en el medio (AITM).<\/p>\n

“SpellBinder habilita los ataques adversarios en el medio (AITM), a trav\u00e9s de la direcci\u00f3n de la direcci\u00f3n de ap\u00e1trate IPv6 (SLAAC<\/a>) paro<\/a>para moverse lateralmente en la red comprometida, interceptando paquetes y redirigiendo el tr\u00e1fico del software chino leg\u00edtimo para que descargue actualizaciones maliciosas de un servidor controlado por los atacantes “, el investigador de ESET FacUdoz Mu\u00f1oz dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

El ataque allana el camino para un descargador malicioso que se entrega al secuestrar el mecanismo de actualizaci\u00f3n de software asociado con Sogou Pinyin. El descargador luego act\u00faa como un conducto para soltar un modular puerta en el nombre en c\u00f3digo Wizardnet.<\/p>\n

Esta no es la primera vez que los actores de amenaza china han abusado del proceso de actualizaci\u00f3n de software de Sogou Pinyin para entregar su propio malware. En enero de 2024, ESET detall\u00f3 un grupo de pirater\u00eda conocido como Blackwood que ha implementado un implante llamado NSPX30 aprovechando el mecanismo de actualizaci\u00f3n de la aplicaci\u00f3n de software de m\u00e9todo de entrada chino.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Luego, a principios de este a\u00f1o, la compa\u00f1\u00eda de ciberseguridad eslovaco revel\u00f3 otro cl\u00faster de amenazas conocido como Plushdaemon que aprovech\u00f3 la misma t\u00e9cnica para distribuir un descargador personalizado llamado Littledaemon.<\/p>\n

Se sabe que TheWizards APT se dirige tanto a los individuos como a los sectores de juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos \u00c1rabes Unidos.<\/p>\n

La evidencia sugiere que el actor de amenazas ha utilizado la herramienta SpellBinder IPv6 AITM desde al menos 2022. Si bien el vector de acceso inicial exacto utilizado en los ataques es desconocido en esta etapa, el acceso exitoso es seguido por la entrega de un archivo ZIP que contiene cuatro archivos diferentes: avgapplicationframehost.exe, wsc.dll, log.dat y winpcap.xe.<\/p>\n

Los actores de la amenaza luego proceden a instalar “WinPCap.exe” y ejecutar “AvgapplicationFrameHost.exe”, este \u00faltimo se abusa de resaltar la DLL. El archivo DLL posteriormente lee ShellCode de “Log.Dat” y lo ejecuta en la memoria, lo que hace que SpellBinder se inicie en el proceso.<\/p>\n

\"\"<\/a><\/div>\n

“Spellbinder usa el Biblioteca WinPCAP<\/a> to capture packets and to reply to packets when needed,” Mu\u00f1oz explained. “It takes advantage of IPv6’s Network Discovery Protocol in which ICMPv6 Router Advertisement (RA) messages advertise that an IPv6-capable router is present in the network so that hosts that support IPv6, or are soliciting an IPv6-capable router, can adopt the advertising device as their default gateway.”<\/p>\n

En un caso de ataque observado en 2024, se dice que los actores de amenaza utilizaron este m\u00e9todo para secuestrar el proceso de actualizaci\u00f3n de software para Tencent QQ a nivel DNS para servir una versi\u00f3n troyana que luego implementa WizardNet, una puerta trasera modular que est\u00e1 equipada para recibir y ejecutar cargas de pago .NET en el host infectado.<\/p>\n

SpellBinder logra interceptando la consulta DNS para el dominio de actualizaci\u00f3n de software (“update.browser.qq[.]com “) y emitir una respuesta DNS con la direcci\u00f3n IP de un servidor controlado por el atacante (” 43.155.62[.]54 “) Hosting la actualizaci\u00f3n maliciosa.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Otra herramienta notable en el Arsenal de TheWizards es Darknights, que tambi\u00e9n se llama Darknimbus por Trend Micro y se ha atribuido a otro grupo de pirater\u00eda chino rastreado como Minotauro de la Tierra. Dicho esto, ambos grupos est\u00e1n siendo tratados como operadores independientes, citando diferencias en las herramientas, la infraestructura y las huellas de focalizaci\u00f3n.<\/p>\n

Lo ha hecho desde surgido<\/a> Que un contratista del Ministerio de Seguridad P\u00fablica china llamado Sichuan Dianke Network Security Technology Co., Ltd. (tambi\u00e9n conocido como UPSEC) es el proveedor del malware Darknimbus.<\/p>\n

“Si bien TheWizards usa una puerta trasera diferente para Windows (WizardNet), el servidor de secuestro est\u00e1 configurado para servir a Darknights para actualizar aplicaciones que se ejecutan en dispositivos Android”, dijo Mu\u00f1oz. “Esto indica que Dianke Network Security es un intendente digital para TheWizards Apt Group”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n