Los cazadores de amenazas han expuesto las t\u00e1cticas de un actor de amenaza alineado por China Libro no solicitado<\/strong> Eso dirigi\u00f3 a una organizaci\u00f3n internacional no identificada en Arabia Saudita con una puerta trasera previamente indocumentada denominada Marsssnake.<\/p>\n Eset, que descubri\u00f3 por primera vez las intrusiones del grupo de pirater\u00eda dirigida a la entidad en marzo de 2023 y nuevamente un a\u00f1o despu\u00e9s, dijo que la actividad aprovecha los correos electr\u00f3nicos de phishing de lanza utilizando boletos de avi\u00f3n como se\u00f1uelos para infiltrarse en objetivos de inter\u00e9s.<\/p>\n “UnsolyitedBooker env\u00eda correos electr\u00f3nicos de phishing de lanza, generalmente con un boleto de avi\u00f3n como se\u00f1uelo, y sus objetivos incluyen organizaciones gubernamentales en Asia, \u00c1frica y Oriente Medio”, la compa\u00f1\u00eda dicho<\/a> En su \u00faltimo informe de Actividad APT para el per\u00edodo que var\u00eda de octubre de 2024 a marzo de 2025.<\/p>\n Los ataques montados por el actor de amenaza se caracterizan por el uso de puertas traseras como Chinoxy, Deedrat, Poison Ivy y Berat, que son ampliamente utilizados por los equipos de pirater\u00eda chinos.<\/p>\n Se eval\u00faa que UndoledBooker compartir superposiciones con un cl\u00faster rastreado como piratas espaciales y un cl\u00faster de actividad de amenazas no atribuida que se encontr\u00f3 desplegando una puerta en la puerta trasera con nombre en c\u00f3digo Zardoor contra una organizaci\u00f3n isl\u00e1mica sin fines de lucro en Arabia Saudita.<\/p>\n La \u00faltima campa\u00f1a, vista por la compa\u00f1\u00eda de seguridad cibern\u00e9tica eslovaca en enero de 2025, implic\u00f3 enviar un correo electr\u00f3nico de phishing que afirmaba ser de Saudia Airlines a la misma organizaci\u00f3n de Arabia Saudita sobre una reserva de vuelos.<\/p>\n “Se adjunta un documento de Microsoft Word al correo electr\u00f3nico y al contenido de se\u00f1uelo […] es un boleto de avi\u00f3n que se modific\u00f3, pero se basa en un PDF que estaba disponible en l\u00ednea en el sitio web de la Academia, una plataforma para compartir investigaciones acad\u00e9micas que permite cargar archivos PDF “, dijo Eset.<\/p>\n El documento de la palabra, una vez lanzado, desencadena la ejecuci\u00f3n de una macro VBA que decodifica y escribe en el sistema de archivos un ejecutable (“smssdrvhost.exe”) que, a su vez, act\u00faa como cargador para Marssnake, un trasero que establece comunicaciones con un servidor remoto (“Contacto. Contact.[.]arriba”).<\/p>\n “Los m\u00faltiples intentos de comprometer a esta organizaci\u00f3n en 2023, 2024 y 2025 indican un fuerte inter\u00e9s por parte de UnyeditedBooker en este objetivo espec\u00edfico”, dijo Eset.<\/p>\n La divulgaci\u00f3n se produce cuando otro actor de amenaza china rastre\u00f3 como Perplexedgoblin (tambi\u00e9n conocido como APT31) atac\u00f3 a una entidad del gobierno de Europa Central en diciembre de 2024 para desplegar una puerta trasera de espionaje denominada nanoslate.<\/p>\n Eset dijo que tambi\u00e9n identific\u00f3 los recicladores digitales continuos ataques contra entidades gubernamentales de la Uni\u00f3n Europea, haciendo uso de la caja de retransmisi\u00f3n operativa de KMA VPN (ORBE<\/a>) Red para ocultar su tr\u00e1fico de red e implementar las puertas traseras RClient, Hydrorshell y Giftbox.<\/p>\n DigitalRecyclers fue detectado por primera vez por la compa\u00f1\u00eda en 2021, aunque se cree que es activo desde al menos 2018.<\/p>\n “Probablemente vinculados a Ke3Chang y Backdoordiplomacy, DigitalRecyclers opera dentro del Galaxia APT15”, ESET dicho<\/a>. “Implementan el implante Rclient, una variante del Proyecto KMA Stealer. En septiembre de 2023, el grupo introdujo una nueva puerta trasera, Hydrorshell, que utiliza el protobuf de Google y TLS para las comunicaciones de C&C”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-piratas-informaticos-chinos-implementan-marssnake-puerta-trasera-en-un.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n