{"id":172,"date":"2026-03-06T13:19:09","date_gmt":"2026-03-06T13:19:09","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/los-piratas-informaticos-vinculados-a-china-utilizan-terndoor-peertime-y-bruteentry-en-ataques-de-telecomunicaciones-en-america-del-sur\/"},"modified":"2026-03-06T13:19:09","modified_gmt":"2026-03-06T13:19:09","slug":"los-piratas-informaticos-vinculados-a-china-utilizan-terndoor-peertime-y-bruteentry-en-ataques-de-telecomunicaciones-en-america-del-sur","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/los-piratas-informaticos-vinculados-a-china-utilizan-terndoor-peertime-y-bruteentry-en-ataques-de-telecomunicaciones-en-america-del-sur\/","title":{"rendered":"Los piratas inform\u00e1ticos vinculados a China utilizan TernDoor, PeerTime y BruteEntry en ataques de telecomunicaciones en Am\u00e9rica del Sur"},"content":{"rendered":"
\n

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones cr\u00edticas en Am\u00e9rica del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.<\/p>\n

La actividad est\u00e1 siendo rastreado<\/a> por Cisco Talos bajo el apodo UAT-9244<\/strong>describi\u00e9ndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.<\/p>\n

Vale la pena se\u00f1alar que se considera que FamousSparrow comparte superposiciones t\u00e1cticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.<\/p>\n

En la campa\u00f1a analizada por la empresa de ciberseguridad, se descubri\u00f3 que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (tambi\u00e9n conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se desconoce el m\u00e9todo de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.<\/p>\n

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable leg\u00edtimo \u00abwsprint.exe\u00bb para iniciar una DLL maliciosa (\u00abBugSplatRc64.dll\u00bb) que descifra y ejecuta la carga \u00fatil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en s\u00ed misma una variante de SparrowDoor), desde al menos noviembre de 2024.<\/p>\n

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. Tambi\u00e9n presenta diferencias con CrowDoor al utilizar un conjunto dispar de c\u00f3digos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Adem\u00e1s, solo admite un modificador de l\u00ednea de comandos (\u00ab-u\u00bb) para desinstalarse del host y eliminar todos los artefactos asociados.<\/p>\n

\"\"<\/a><\/div>\n

Una vez iniciado, ejecuta una verificaci\u00f3n para asegurarse de que se haya inyectado en \u00abmsiexec.exe\u00bb, despu\u00e9s de lo cual decodifica una configuraci\u00f3n para extraer los par\u00e1metros de comando y control (C2). Posteriormente, establece comunicaci\u00f3n con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer\/escribir archivos, recopilar informaci\u00f3n del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que est\u00e1 compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.<\/p>\n

\u00abEl binario Instrumentor ELF comprobar\u00e1 la presencia de Docker en el host comprometido utilizando los comandos docker y docker \u2013q\u00bb, dijeron los investigadores de Talos Asheer Malhotra y Brandon White. \u00abSi se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuraci\u00f3n en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El objetivo principal del cargador es descifrar y descomprimir la carga \u00fatil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versi\u00f3n escrita en C\/C++ y una variante m\u00e1s nueva programada en Rust. Adem\u00e1s de tener la capacidad de cambiarse el nombre a s\u00ed mismo como un proceso inofensivo para eludir la detecci\u00f3n, la puerta trasera emplea el protocolo BitTorrent para obtener informaci\u00f3n C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.<\/p>\n

Tambi\u00e9n se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas \u00fatiles, incluido un esc\u00e1ner de fuerza bruta con nombre en c\u00f3digo BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.<\/p>\n

Esto se logra mediante un script de shell que coloca dos componentes basados \u200b\u200ben Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigir\u00e1n los ataques de fuerza bruta. En \u00faltima instancia, la puerta trasera informa los inicios de sesi\u00f3n exitosos al servidor C2.<\/p>\n

\u00abEl ‘\u00e9xito’ indica si la fuerza bruta tuvo \u00e9xito (verdadero o falso), y las ‘notas’ proporcionan informaci\u00f3n espec\u00edfica sobre si la fuerza bruta tuvo \u00e9xito\u00bb, dijo Talos. \u00abSi el inicio de sesi\u00f3n fall\u00f3, la nota dice ‘Se intentaron todas las credenciales’\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones cr\u00edticas en Am\u00e9rica del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes. La actividad est\u00e1 siendo rastreado por Cisco Talos bajo el apodo UAT-9244describi\u00e9ndolo como estrechamente asociado con otro […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[550,233,548,200,70,540,52,547,539,551,549,546,92,400],"class_list":["post-172","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-america","tag-ataques","tag-bruteentry","tag-china","tag-del","tag-informaticos","tag-los","tag-peertime","tag-piratas","tag-sur","tag-telecomunicaciones","tag-terndoor","tag-utilizan","tag-vinculados"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=172"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/172\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}