APT

El grupo de amenazas conocido como Dragon Breath, también rastreado como APT-Q-27 y Golden Eye, ha sido detectado utilizando un cargador de múltiples etapas llamado RONINGLOADER para entregar una variante modificada del troyano de acceso remoto Gh0st RAT. Esta campaña se dirige principalmente a usuarios de habla china y utiliza instaladores NSIS troyanizados que se hacen pasar por software legítimo como Google Chrome y Microsoft Teams. Según investigadores de Elastic Security Labs, la cadena de infección emplea un mecanismo de entrega de múltiples etapas que incorpora técnicas de evasión avanzadas. Estas técnicas están diseñadas específicamente para neutralizar productos de seguridad endpoint populares en el mercado chino. ...

El panorama de ciberamenazas dirigido a usuarios de habla china se ha intensificado con la detección de múltiples campañas de malware. Dos informes recientes destacan la sofisticación de los actores de amenazas que utilizan el troyano de acceso remoto Gh0st RAT, un malware conocido por su versatilidad. Una de las campañas involucra al actor de amenazas conocido como Dragon Breath (también APT-Q-27 o Golden Eye), que utiliza un cargador multifase llamado RONINGLOADER para entregar una variante modificada de Gh0st RAT. Simultáneamente, otra serie de campañas de suplantación de identidad digital a gran escala ha estado distribuyendo el mismo malware. ...

El actor de amenazas PlushDaemon ha sido identificado utilizando una nueva puerta trasera de red basada en Go, denominada EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM). EdgeStepper tiene la capacidad de redirigir todas las consultas DNS a un nodo malicioso externo, desviando el tráfico de la infraestructura legítima de actualizaciones de software hacia infraestructura controlada por los atacantes. Sobre el actor de amenazas PlushDaemon PlushDaemon es un grupo de amenazas alineado con China, activo desde al menos 2018. Se le conoce por dirigir ataques contra entidades en Estados Unidos, Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental. ...

El grupo de amenazas conocido como PlushDaemon ha sido detectado utilizando un nuevo backdoor de red basado en Go, denominado EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM) y secuestrar mecanismos de actualización de software. EdgeStepper, un implante previamente indocumentado, ha sido diseñado para desviar las consultas DNS de las víctimas hacia una infraestructura controlada por los atacantes. Este backdoor permite a PlushDaemon redirigir el tráfico de las actualizaciones legítimas de software a nodos maliciosos, facilitando la entrega de payloads de segunda etapa. ...