Tres grupos de actividades de amenazas alineados con China han apuntado a una organización gubernamental en el sudeste asiático como parte de lo que se ha descrito como una «operación compleja y con buenos recursos».

Las campañas han llevado a la implementación de varias familias de malware, incluidas HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch), PUBLOAD, EggStremeFuel (también conocido como RawCookie), EggStremeLoader (también conocido como Gorem RAT), MASOL RAT, PoshRATTrackBak Stealer, RawCookie, Hypnosis Loader y FluffyGh0st.

El actividad se ha atribuido a los siguientes grupos:

• Junio ​​- agosto de 2025: Mustang Panda (también conocido como Stately Taurus).
• Marzo – septiembre de 2025: CL-STA-1048, que se superpone con grupos documentados públicamente bajo los apodos Earth Estries y Crimson Palace.
• Abril y agosto de 2025: CL-STA-1049, que se superpone con un grupo documentado públicamente conocido como Unfading Sea Haze.

Cronograma de actividades

«Estos grupos de actividades se superponen con campañas informadas públicamente destinadas a establecer un acceso persistente», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Doel Santos y Hiroaki Hara. dicho. «La superposición significativa de tácticas, técnicas y procedimientos (TTP) con campañas conocidas alineadas con China sugiere que los grupos y el grupo de amenaza tienen un objetivo de interés común, coordinando potencialmente sus esfuerzos».

Cadena de infección de CL-STA-1048 26m

La actividad de Mustang Panda, registrada entre el 1 de junio y el 15 de agosto de 2025, implicó el uso de un malware basado en USB conocido como HIUPAN para entregar la puerta trasera PUBLOAD mediante una DLL maliciosa con nombre en código Claimloader. El primer uso registrado de las fechas de Claimloader por parte del actor de amenazas volver a finales de 2022 en ataques contra organizaciones gubernamentales en Filipinas.

Un análisis adicional de la red de víctimas ha descubierto la implementación de COOLCLIENT, otra puerta trasera conocida atribuida a Mustang Panda durante más de tres años. Admite descarga/carga de archivos, grabación de pulsaciones de teclas, tunelización de paquetes y captura de información de mapas de puertos.

Las herramientas utilizadas por CL-STA-1048 varían ya que son ruidosas.

• EggStremeFuel, una puerta trasera liviana que está equipada para descargar/cargar archivos, enumerar archivos y directorios, iniciar o finalizar un shell inverso, enviar la dirección IP global actual y actualizar la configuración C2.
• EggStremeLoader, otro componente del marco de malware EggStreme lanzado por EggStremeFuel. Admite 59 comandos de puerta trasera para respaldar un robo de datos extenso. Esto incluye una variante que facilita la descarga/carga de archivos a través de Dropbox.
• MASOL RAT (también conocido como Backdr-NQ), un troyano de acceso remoto con funciones de descarga/carga de archivos y ejecución de comandos arbitrarios.
• TrackBak, un ladrón de información que recopila registros, datos del portapapeles, información de red y archivos de las unidades.

La actividad vinculada a CL-STA-1049, por otro lado, implica el uso de un novedoso cargador de DLL llamado Hypnosis Loader, que se inicia mediante carga lateral de DLL, para finalmente instalar FluffyGh0st RAT. El vector de acceso inicial exacto utilizado por CL-STA-1048 y CL-STA-1049 aún no está claro.

«La convergencia de estos grupos de actividades, todos los cuales muestran vínculos con actores conocidos alineados con China, apunta a un esfuerzo coordinado para lograr un objetivo estratégico común», dijo la Unidad 42. «La metodología de los atacantes indica que pretendían obtener acceso persistente y a largo plazo a redes gubernamentales sensibles, no sólo causar interrupciones».

Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con alto valor de inteligencia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI). dicho Viernes.

«La campaña está dirigida a personas de alto valor en inteligencia, incluidos funcionarios actuales y anteriores del gobierno estadounidense, personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel. dicho en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en acceso no autorizado a miles de cuentas individuales. Después de obtener acceso, los actores pueden ver mensajes y listas de contactos, enviar mensajes como víctima y realizar phishing adicional desde una identidad confiable».

CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.

Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).

En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.

«Estos ataques, cuando tienen éxito, pueden permitir que actores maliciosos accedan a historiales de conversaciones o incluso tomen el control de las cuentas de mensajería de sus víctimas y envíen mensajes haciéndose pasar por ellas», C4 dicho.

El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.

Como alertaron recientemente las agencias de ciberseguridad de Alemania y Países Bajos, el ataque implica el adversario se hace pasar por «Soporte de señales» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, el esquema de ingeniería social permite a los actores de amenazas obtener acceso a la cuenta CMA de la víctima.

Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:

• Si la víctima opta por proporcionar el PIN o el código de verificación al actor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el actor de la amenaza no puede acceder a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y enviar mensajes a otros haciéndose pasar por la víctima.
• Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole acceder a todos los mensajes, incluidos los enviados en el pasado. En este escenario, la víctima sigue teniendo acceso a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.

Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartir su Código SMS o PIN de verificación con cualquier personatenga cuidado al recibir mensajes inesperados de contactos desconocidos, verifique los enlaces antes de hacer clic en ellos y revise periódicamente los dispositivos vinculados y elimine aquellos que parezcan sospechosos.

«Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», Signal dicho en una publicación en X a principios de este mes.

«Para ayudar a prevenir esto, recuerde que su código de verificación por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* iniciará contacto a través de mensajes dentro de la aplicación, SMS o redes sociales para solicitar su código de verificación o PIN. Si alguien solicita algún código relacionado con Signal, es una estafa».

Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.

El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolución, TaxiSpy RATA, BeatBanker, miraxy RATA del olvido a herramientas completas de administración remota como SURXRAT.

PixRevolution, según Zimperium, apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.

«Esta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la víctima inicia una transferencia Pix», afirma el investigador de seguridad Aazim Yaswant. dicho. «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instantáneamente la pantalla del teléfono de la víctima, preparado para actuar en el momento preciso de la transacción».

El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.

También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latido periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la víctima y ofrecer una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y el clave de foto del destinatario para iniciar el pago.

En ese momento, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (que significa «esperar» en portugués/español), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le muestra una pantalla de confirmación de «transferencia completa» en la aplicación Pix.

«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia fue confirmada exitosamente. La cantidad que pretendían enviar fue deducida de su cuenta».

«Sólo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».

Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabación de 5 segundos con palabras chinas, para evitar que se termine.

Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).

«Para lograr sus objetivos, los APK maliciosos llevan múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas», Kaspersky dicho. «Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino con la dirección de transferencia del actor de la amenaza».

El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener un control total del dispositivo.

Se ha descubierto que en iteraciones recientes de la campaña se elimina BTMOB RAT en lugar del módulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en línea EVLF.

«También vimos la distribución y venta de código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga útil final».

TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, así como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.

El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.

«El malware aprovecha técnicas de evasión avanzadas, como el cifrado de biblioteca nativo, la ofuscación de cadenas XOR y el control remoto tipo VNC en tiempo real a través de WebSocket», CYFIRMA dicho. «Su diseño permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque específico de la región y motivado financieramente».

Otro troyano bancario de Android digno de mención es miraxque ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares por una versión completa o 1750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de dispositivos comprometidos.

Mirax no es la única oferta de Android MaaS detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.

Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere interacción por parte de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).

«Lo que lo distingue no es una característica única. Es la combinación: omisión de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas informáticos incluso con el nivel más mínimo de habilidad técnica», Certos dicho.

«Google ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desafío para las defensas a nivel de plataforma».

También se distribuye comercialmente a través de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRATque se considera una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.

Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM se activa solo cuando aplicaciones de juego específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes de destino alternativos de forma dinámica desde el servidor.

• Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
• Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que hace posible que un operador remoto se apodere del control del dispositivo de una víctima y niegue el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago.

«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando los marcos RAT de Android existentes, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control», dijo Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección».