{"id":1035,"date":"2026-06-01T17:09:03","date_gmt":"2026-06-01T17:09:03","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/01\/dragon-weave-llega-a-la-republica-checa-y-taiwan-cyberdefensa-mx\/"},"modified":"2026-06-01T17:09:03","modified_gmt":"2026-06-01T17:09:03","slug":"dragon-weave-llega-a-la-republica-checa-y-taiwan-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/01\/dragon-weave-llega-a-la-republica-checa-y-taiwan-cyberdefensa-mx\/","title":{"rendered":"Dragon Weave llega a la Rep\u00fablica Checa y Taiw\u00e1n \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una nueva campa\u00f1a de ciberespionaje con nombre en clave Operaci\u00f3n Tejido Drag\u00f3n<\/b> Se ha observado que se dirige a funcionarios y ciudadanos de la Rep\u00fablica Checa y Taiw\u00e1n para entregar un agente AdaptixC2.<\/p>\n

Seg\u00fan Seqrite Labs, los objetivos de la campa\u00f1a incluyen los sectores gubernamental, de investigaci\u00f3n, acad\u00e9mico, tecnol\u00f3gico y de servicios financieros. La actividad implica la distribuci\u00f3n de correos electr\u00f3nicos de phishing que contienen archivos adjuntos ZIP para desencadenar una cadena de infecci\u00f3n que utiliza un cargador Rust para eliminar la carga \u00fatil final para la filtraci\u00f3n de datos y el control remoto.<\/p>\n

\u00abCuando se extrae, el archivo contiene m\u00faltiples archivos que parecen leg\u00edtimos pero que en realidad son parte de una cadena de infecci\u00f3n estructurada dise\u00f1ada para ejecutar cargas \u00fatiles maliciosas en segundo plano\u00bb, dijo la investigadora de seguridad Priya Patel. dicho<\/a>.<\/p>\n

La cadena de ataque utiliza dos v\u00edas diferentes para lanzar el malware de etapa final. Una secuencia de infecci\u00f3n comienza cuando el destinatario del archivo ZIP abre un archivo malicioso de acceso directo de Windows (LNK) que se hace pasar por un documento PDF. Esto lleva a la ejecuci\u00f3n de un script de PowerShell que es responsable de extraer un ejecutable (\u00abRuntimeBroker_update.exe\u00bb) de un archivo DAT intermedio y ejecutarlo.<\/p>\n

En la segunda cadena de ataque, la v\u00edctima lanza directamente un binario desde el mismo archivo. El binario funciona como un cuentagotas aut\u00f3nomo basado en Rust para iniciar \u00abRuntimeBroker_update.exe\u00bb. Independientemente de la ruta elegida, el ejecutable carga una DLL maliciosa (\u00abUnityPlayer.dll\u00bb) a trav\u00e9s de Carga lateral de DLL<\/a>lo que result\u00f3 en la implementaci\u00f3n de un cargador basado en Rust llamado RUSTCLOAK.<\/p>\n

Luego, el cargador descifra y ejecuta la carga \u00fatil principal, un agente AdaptixC2 con nombre en c\u00f3digo AZUREVEIL debido al uso de Microsoft Azure Blob Storage para comando y control (C2). El cargador est\u00e1 dise\u00f1ado para realizar comprobaciones antian\u00e1lisis y proceder solo si el malware determina que se est\u00e1 ejecutando en un entorno aislado.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEl malware simplemente se comunica con Azure Blob Storage, el mismo servicio utilizado por miles de empresas leg\u00edtimas en todo el mundo\u00bb, dijo Seqrite Labs. \u00abEn lugar de utilizar un modelo C2 tradicional basado en extracci\u00f3n, AZUREVEIL sigue un enfoque de entrega directa. El atacante y el sistema infectado nunca se comunican directamente. En cambio, ambas partes utilizan el mismo contenedor de almacenamiento de Azure para intercambiar datos\u00bb.<\/p>\n

AZUREVEIL admite 36 comandos que le permiten realizar una amplia gama de acciones posteriores al compromiso en el host, incluidas operaciones de archivos, cargas y descargas de archivos, ejecuci\u00f3n de comandos de shell, enumeraci\u00f3n y terminaci\u00f3n de procesos, reenv\u00edo de puertos, control de proxy SOCKS, administraci\u00f3n de servidores C2 y ejecuci\u00f3n en memoria de archivos de objetos Beacon (BOF).<\/p>\n

Estas capacidades otorgan al atacante un control total sobre el punto final comprometido. Aunque la actividad se ha atribuido a un actor o grupo de amenazas conocido, se considera que est\u00e1 alineada con China.<\/p>\n

La divulgaci\u00f3n se produce cuando Cato Networks dicho<\/a> detect\u00f3 y bloque\u00f3 un intento de intrusi\u00f3n contra la sucursal india de un cliente de fabricaci\u00f3n global an\u00f3nimo para entregar TencShell, un implante basado en Go previamente no documentado derivado del marco de c\u00f3digo abierto rshell C2.<\/p>\n

Se cree que el ataque es obra de actores de amenazas del nexo con China basados \u200b\u200ben el uso hist\u00f3rico de rshell, la suplantaci\u00f3n de API con tem\u00e1tica de Tencent y patrones de infraestructura. Actualmente se desconoce el vector de acceso inicial utilizado en la intrusi\u00f3n.<\/p>\n

\u00abSi tiene \u00e9xito, TencShell podr\u00eda haberle dado al atacante ejecuci\u00f3n remota de comandos, ejecuci\u00f3n de carga \u00fatil en memoria, proxy, pivotaci\u00f3n, creaci\u00f3n de perfiles del sistema y una ruta para implementar herramientas adicionales\u00bb, dijeron los investigadores Idan Tarab, Dr. Guy Waizel, Zohar Buber y Shani Kurtzberg.<\/p>\n

\"\"<\/a><\/div>\n

En un informe publicado la semana pasada, ESET dicho<\/a> Los actores de amenazas alineados con China se han mantenido \u00abmuy activos\u00bb a nivel mundial desde octubre de 2025 hasta marzo de 2026. Esto incluye un grupo no informado denominado SteppeDriver que se descubri\u00f3 por primera vez en 2024 y desde entonces se ha dirigido a entidades en Francia, Mongolia y Am\u00e9rica del Sur utilizando herramientas como ShadowPad, COOLCLIENT, CurlyDoor, RudeGull y MKTDownloader.<\/p>\n

El proveedor eslovaco de ciberseguridad tambi\u00e9n identific\u00f3 un nuevo conjunto de herramientas vinculado a UNC5221 denominado PhiliKit que act\u00faa como una puerta trasera pasiva para ejecutar comandos de shell, scripts de Python y scripts de Perl. Se sospecha que PhiliKit se implementa como parte del paquete de malware SPAWN utilizado por el grupo de hackers chino en el pasado.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Un tercer grupo de amenazas afiliado a China es NegativeGlimmer, que se cree que comparte cierto nivel de superposici\u00f3n con TGR-STA-1030, que la Unidad 42 de Palo Alto Networks document\u00f3 a principios de este a\u00f1o por haber violado al menos 70 organizaciones gubernamentales y de infraestructura cr\u00edtica en 37 pa\u00edses durante el a\u00f1o pasado.<\/p>\n

En al menos un caso observado en diciembre de 2025, se descubri\u00f3 que el actor de amenazas apuntaba a una organizaci\u00f3n gubernamental en Panam\u00e1, utilizando una cadena de carga lateral de DLL iniciada a trav\u00e9s de phishing para entregar un descargador que luego implementa AdaptixC2 y simult\u00e1neamente muestra un documento se\u00f1uelo a la v\u00edctima.<\/p>\n

Las iteraciones posteriores en enero de 2026 cambiaron AdaptixC2 a favor de Cobalt Strike, y tambi\u00e9n se informaron infecciones en Camboya y Corea del Sur.<\/p>\n

\u00abEste \u00faltimo objetivo en Corea del Sur se alinea con el inter\u00e9s duradero de Beijing en tecnolog\u00edas estrat\u00e9gicas priorizadas bajo la pol\u00edtica de desarrollo industrial Made in China 2025\u00bb, dijo Jean-Ian Boutin de ESET.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una nueva campa\u00f1a de ciberespionaje con nombre en clave Operaci\u00f3n Tejido Drag\u00f3n Se ha observado que se dirige a funcionarios y ciudadanos de la Rep\u00fablica Checa y Taiw\u00e1n para entregar un agente AdaptixC2. Seg\u00fan Seqrite Labs, los objetivos de la campa\u00f1a incluyen los sectores gubernamental, de investigaci\u00f3n, acad\u00e9mico, tecnol\u00f3gico y de servicios financieros. La actividad […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[2825,24,413,1793,2824,2826,2823],"class_list":["post-1035","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-checa","tag-cyberdefensa-mx","tag-dragon","tag-llega","tag-republica","tag-taiwan","tag-weave"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1035"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1035\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}