{"id":836053,"date":"2023-07-03T16:30:35","date_gmt":"2023-07-03T16:30:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-utilizan-el-contrabando-de-html-para-infiltrarse-en-los-ministerios-europeos-con-plugx\/"},"modified":"2023-07-03T16:30:39","modified_gmt":"2023-07-03T16:30:39","slug":"los-piratas-informaticos-chinos-utilizan-el-contrabando-de-html-para-infiltrarse-en-los-ministerios-europeos-con-plugx","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-utilizan-el-contrabando-de-html-para-infiltrarse-en-los-ministerios-europeos-con-plugx\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos utilizan el contrabando de HTML para infiltrarse en los ministerios europeos con PlugX"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ataque de Malware \/ Ciberespionaje<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que un grupo de estado-naci\u00f3n chino apunta a los ministerios de Relaciones Exteriores y las embajadas en Europa utilizando t\u00e9cnicas de contrabando de HTML para entregar el troyano de acceso remoto PlugX en sistemas comprometidos.<\/p>\n<p>La firma de seguridad cibern\u00e9tica Check Point dijo que la actividad, denominada <strong>engre\u00eddoX<\/strong>ha estado en curso desde al menos diciembre de 2022.<\/p>\n<p>&#8220;La campa\u00f1a utiliza nuevos m\u00e9todos de entrega para implementar (en particular, el contrabando de HTML) una nueva variante de PlugX, un implante com\u00fanmente asociado con una amplia variedad de actores de amenazas chinos&#8221;, Check Point <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/chinese-threat-actors-targeting-europe-in-smugx-campaign\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Aunque la carga \u00fatil en s\u00ed sigue siendo similar a la que se encuentra en las variantes anteriores de PlugX, sus m\u00e9todos de entrega dan como resultado bajas tasas de detecci\u00f3n, lo que hasta hace poco ayud\u00f3 a que la campa\u00f1a pasara desapercibida&#8221;.<\/p>\n<p>La identidad exacta del actor de amenazas detr\u00e1s de la operaci\u00f3n es un poco confusa, aunque las pistas existentes apuntan en la direcci\u00f3n de Mustang Panda, que tambi\u00e9n comparte superposiciones con grupos rastreados como Earth Preta, RedDelta y la propia designaci\u00f3n de Check Point, Camaro Dragon.<\/p>\n<p>Sin embargo, la compa\u00f1\u00eda dijo que hay &#8220;pruebas insuficientes&#8221; en esta etapa para atribuirlo de manera concluyente al colectivo adversario.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1688401835_113_Los-piratas-informaticos-chinos-utilizan-el-contrabando-de-HTML-para.jpg\" alt=\"Contrabando de HTML\" border=\"0\" data-original-height=\"366\" data-original-width=\"728\" title=\"Contrabando de HTML\"\/><\/div>\n<p>La \u00faltima secuencia de ataque es importante para el uso de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/html-smuggling-a-stealthier-approach-to-deliver-malware\/\" target=\"_blank\">Contrabando de HTML<\/a> \u2013 una t\u00e9cnica sigilosa en la que se abusa de las funciones leg\u00edtimas de HTML5 y JavaScript para ensamblar y lanzar el malware \u2013 en los documentos se\u00f1uelo adjuntos a los correos electr\u00f3nicos de phishing selectivo.<\/p>\n<p>&#8220;El contrabando de HTML emplea atributos de HTML5 que pueden funcionar sin conexi\u00f3n mediante el almacenamiento de un binario en una gota inmutable de datos dentro del c\u00f3digo JavaScript&#8221;, Trustwave <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/html-smuggling-the-hidden-threat-in-your-inbox\/\" target=\"_blank\">anotado<\/a> a principios de febrero.  &#8220;El blob de datos, o la carga \u00fatil incrustada, se decodifica en un objeto de archivo cuando se abre a trav\u00e9s de un navegador web&#8221;.<\/p>\n<p>Un an\u00e1lisis de los documentos, que se cargaron en la base de datos de malware VirusTotal, revela que est\u00e1n dise\u00f1ados para dirigirse a diplom\u00e1ticos y entidades gubernamentales en Chequia, Hungr\u00eda, Eslovaquia, el Reino Unido, Ucrania y tambi\u00e9n probablemente en Francia y Suecia.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687793621_378_Intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En un caso, se dice que el actor de la amenaza emple\u00f3 un se\u00f1uelo de tem\u00e1tica uigur (&#8220;China intenta bloquear a un destacado orador uigur en la ONU.docx&#8221;) que, cuando se abre, se\u00f1ala a un servidor externo por medio de un seguimiento invisible integrado. p\u00edxel para filtrar datos de reconocimiento.<\/p>\n<p>El proceso de infecci\u00f3n de m\u00faltiples etapas utiliza m\u00e9todos de carga lateral de DLL para descifrar y lanzar la carga \u00fatil final, PlugX.<\/p>\n<p>Tambi\u00e9n llamado Korplug, el malware se remonta a 2008 y es un troyano modular capaz de acomodar &#8220;diversos complementos con distintas funcionalidades&#8221; que permite a los operadores realizar robos de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecuci\u00f3n de comandos.<\/p>\n<p>&#8220;Durante el curso de nuestra investigaci\u00f3n de las muestras, el actor de amenazas envi\u00f3 un script por lotes, enviado desde el servidor de C&#038;C, con la intenci\u00f3n de borrar cualquier rastro de sus actividades&#8221;, dijo Check Point.<\/p>\n<p>&#8220;Este script, llamado del_RoboTask Update.bat, erradica el ejecutable leg\u00edtimo, la DLL del cargador PlugX y la clave de registro implementada para la persistencia, y finalmente se elimina a s\u00ed mismo. Es probable que esto sea el resultado de que los actores de la amenaza se dieron cuenta de que estaban bajo escrutinio. .&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/chinese-hackers-use-html-smuggling-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de julio de 2023\ue804Ravie Lakshman\u00e1nAtaque de Malware \/ Ciberespionaje Se ha observado que un grupo de estado-naci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":836054,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4289,4664,99,13857,5827,4662,28887,93988,6214,4668,4667,36,54579,4654,4658,4659,4653,4655,18,6213,56568,4663,4666,4665,10365,4660],"class_list":["post-836053","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-chinos","tag-como-hackear","tag-con","tag-contrabando","tag-europeos","tag-filtracion-de-datos","tag-html","tag-infiltrarse","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-ministerios","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-plugx","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-utilizan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/836053","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=836053"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/836053\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/836054"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=836053"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=836053"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=836053"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}