Un grupo de ciber espionaje conocido como Earth Ammith se ha vinculado a dos campa\u00f1as relacionadas pero distintas de 2023 a 2024 dirigidas a varias entidades en Taiw\u00e1n y Corea del Sur, incluidos militares, sat\u00e9lite, industria pesada, medios, tecnolog\u00eda, servicios de software y sectores de atenci\u00f3n m\u00e9dica.<\/p>\n
La firma de ciberseguridad Trend Micro dijo que la primera ola, con nombre en c\u00f3digo Venom, principalmente proveedores de servicios de software dirigidos, mientras que la segunda ola, conocida como Tidrone, destac\u00f3 a la industria militar. Se eval\u00faa que la Tierra Ammit est\u00e1 conectada con los grupos de estado-naci\u00f3n de habla china.<\/p>\n
“En su campa\u00f1a Venom, el enfoque de Earth Ammith implicaba penetrar el segmento aguas arriba de la cadena de suministro de drones”, los investigadores de seguridad Pierre Lee, Vickie Su y Philip Chen dicho<\/a>. “El objetivo a largo plazo de Earth Ammith es comprometer las redes confiables a trav\u00e9s de ataques de la cadena de suministro, lo que les permite dirigirse a entidades de alto valor aguas abajo y amplificar su alcance”.<\/p>\n La campa\u00f1a de Tidrone fue expuesta por primera vez por Trend Micro el a\u00f1o pasado, detallando los ataques del cl\u00faster contra los fabricantes de drones en Taiw\u00e1n para entregar malware personalizado como CXCLNT y Clntend. Un informe posterior de Ahnlab en diciembre de 2024 detallado<\/a> El uso de Clntend contra empresas surcoreanas.<\/p>\n Los ataques son notables para atacar a la cadena de suministro de drones, aprovechando el software de planificaci\u00f3n de recursos empresariales (ERP) para violar las industrias militares y satelitales. Los incidentes seleccionados tambi\u00e9n han involucrado el uso de canales de comunicaci\u00f3n confiables, como las herramientas de administraci\u00f3n de TI o monitoreo remoto, para distribuir las cargas \u00fatiles maliciosas.<\/p>\n La campa\u00f1a de veneno, por tendencia micro, se caracteriza por la explotaci\u00f3n de las vulnerabilidades del servidor web para eliminar los proyectiles web, y luego armarse el acceso para instalar herramientas de acceso remoto (RAT) para un acceso persistente a los hosts comprometidos. El uso de herramientas de c\u00f3digo abierto como RevSock y Sliver en los ataques se considera un intento deliberado de nublar los esfuerzos de atribuci\u00f3n.<\/p>\n El \u00fanico malware a medida observado en la campa\u00f1a de Venom es VenFrpc, una versi\u00f3n personalizada de FRPC<\/a>que, en s\u00ed mismo, es una versi\u00f3n modificada de la herramienta de proxy inverso r\u00e1pido (FRP) de c\u00f3digo abierto.<\/p>\n El objetivo final de la campa\u00f1a es cosechar credenciales de los entornos violados y usar la informaci\u00f3n robada como un trampol\u00edn para informar la pr\u00f3xima fase, Tidrone, dirigida a clientes aguas abajo. La campa\u00f1a de Tidrone se extiende en tres etapas – <\/p>\n “La funcionalidad central de CXCLNT depende de un sistema de complementos modular. Tras la ejecuci\u00f3n, recupera complementos adicionales de su servidor C&C para extender sus capacidades din\u00e1micamente”, dijo Trend Micro. “Esta arquitectura no solo oscurece el verdadero prop\u00f3sito de la puerta trasera durante el an\u00e1lisis est\u00e1tico, sino que tambi\u00e9n permite operaciones flexibles y a pedido basadas en los objetivos del atacante”.<\/p>\n Se dice que CXCLNT se us\u00f3 en ataques desde al menos 2022. Clntend, detectado por primera vez en 2024, es su sucesor y viene con un conjunto ampliado de caracter\u00edsticas para evitar la detecci\u00f3n.<\/p>\n La conexi\u00f3n entre Venom y Tidrone se deriva de v\u00edctimas compartidas y proveedores de servicios y una infraestructura de comando y control superpuesta, lo que indica que un actor de amenaza com\u00fan est\u00e1 detr\u00e1s de ambas campa\u00f1as. Trend Micro dijo que las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) del equipo de pirater\u00eda (TTPS) se asemejan a los utilizados por otro grupo de pirater\u00eda de estado naci\u00f3n chino rastreado como Dalbit (tambi\u00e9n conocido como M00nlight), lo que sugiere un kit de herramientas compartido.<\/p>\n “Esta progresi\u00f3n subraya una estrategia deliberada: comienza de amplio costo y herramientas de bajo riesgo para establecer acceso, luego pivote a capacidades personalizadas para intrusiones m\u00e1s espec\u00edficas e impactantes”, dijeron los investigadores. “Comprender este patr\u00f3n operativo ser\u00e1 cr\u00edtico para predecir y defender contra futuras amenazas de este actor”.<\/p>\n La divulgaci\u00f3n se produce cuando Seqrite Labs revel\u00f3 los detalles de una campa\u00f1a de ciber espionaje denominado Swan Vector que ha dirigido a los institutos educativos y a la industria de la ingenier\u00eda mec\u00e1nica en Taiw\u00e1n y Jap\u00f3n con se\u00f1uelos de curr\u00edculum falsos distribuidos a trav\u00e9s de correos electr\u00f3nicos de phishing de lanza para entregar un implante DLL llamado Pterois, que luego se utiliza para descargar el Cobalt Strike Shellcode.<\/p>\n PTerois tambi\u00e9n est\u00e1 dise\u00f1ado para descargar desde Google Drive Otro malware denominado Isurus que entonces es responsable de ejecutar el marco de Cobalt Strike posterior a la explotaci\u00f3n. La campa\u00f1a ha sido atribuida a un actor de amenaza de Asia Oriental con confianza media.<\/p>\n “El actor de amenaza tiene su sede en Asia Oriental y ha estado activo desde diciembre de 2024 dirigido a m\u00faltiples entidades basadas en la contrataci\u00f3n en Taiw\u00e1n y Jap\u00f3n”, el investigador de seguridad Subhajeet Singha dicho<\/a>.<\/p>\n “El actor de amenaza se basa en el desarrollo personalizado de implantes que comprenden descargadores, cargadores de shellcode y cobalto como sus herramientas clave con un gran dependencia de las t\u00e9cnicas de evasi\u00f3n m\u00faltiple como el hash de API, las calificaciones directas, la devoluci\u00f3n de llamada de las funciones, la carga lateral de DLL y la autodeleti\u00f3n autodeinal<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Earth-Ammit-violo-las-cadenas-de-suministro-de-drones-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\nJap\u00f3n y Taiw\u00e1n atacados por Swan Vector<\/h3>\n
<\/a><\/div>\n