{"id":185,"date":"2026-03-09T10:07:53","date_gmt":"2026-03-09T10:07:53","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/explotaciones-de-servidores-web-y-mimikatz-utilizados-en-ataques-dirigidos-a-infraestructura-critica-asiatica-cyberdefensa-mx\/"},"modified":"2026-03-09T10:07:53","modified_gmt":"2026-03-09T10:07:53","slug":"explotaciones-de-servidores-web-y-mimikatz-utilizados-en-ataques-dirigidos-a-infraestructura-critica-asiatica-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/explotaciones-de-servidores-web-y-mimikatz-utilizados-en-ataques-dirigidos-a-infraestructura-critica-asiatica-cyberdefensa-mx\/","title":{"rendered":"Explotaciones de servidores web y Mimikatz utilizados en ataques dirigidos a infraestructura cr\u00edtica asi\u00e1tica \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campa\u00f1a de a\u00f1os.<\/p>\n

La actividad, que se ha dirigido a los sectores de aviaci\u00f3n, energ\u00eda, gobierno, aplicaci\u00f3n de la ley, farmac\u00e9utica, tecnolog\u00eda y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068<\/strong>donde \u00abCL\u00bb se refiere a \u00abcl\u00faster\u00bb y \u00abUNK\u00bb significa motivaci\u00f3n desconocida.<\/p>\n

Sin embargo, el proveedor de seguridad ha evaluado con \u00abconfianza moderada a alta\u00bb que el objetivo principal de la campa\u00f1a es el ciberespionaje.<\/p>\n

\u00abNuestro an\u00e1lisis revela un conjunto de herramientas multifac\u00e9tico que incluye malware personalizado, utilidades de c\u00f3digo abierto modificadas y binarios que viven de la tierra (LOLBIN)\u00bb, investigador de seguridad Tom Fakterman. dicho<\/a>. \u00abEstos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo\u00bb.<\/p>\n

Las herramientas est\u00e1n dise\u00f1adas para atacar entornos Windows y Linux, y el adversario se basa en una combinaci\u00f3n de utilidades de c\u00f3digo abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015<\/a> y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra<\/a> (tambi\u00e9n conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en l\u00ednea.<\/p>\n

Las cadenas de ataques t\u00edpicas implican la explotaci\u00f3n de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones (\u00abweb.config\u00bb, \u00ab.aspx\u00bb, \u00ab.asmx\u00bb, \u00ab.asax\u00bb y \u00ab.dll\u00bb) del directorio \u00abc:\\inetpub\\wwwroot\u00bb de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.<\/p>\n

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.<\/p>\n

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a trav\u00e9s del shell web.<\/p>\n

\"\"<\/a><\/div>\n

\u00abAl codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ning\u00fan archivo\u00bb, dijo la Unidad 42. \u00abLos atacantes probablemente eligieron este m\u00e9todo porque el shell del host les permit\u00eda ejecutar comandos y ver la salida, pero no transferir archivos directamente\u00bb.<\/p>\n

Una de las t\u00e9cnicas empleadas en estos ataques es el uso de ejecutables leg\u00edtimos de Python (\u00abpython.exe\u00bb y \u00abpythonw.exe\u00bb) para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofer<\/a>y un esc\u00e1ner personalizado basado en Go llamado ScanPortPlus.<\/p>\n

Tambi\u00e9n se dice que CL-UNK-1068 particip\u00f3 en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo m\u00e9todo que utiliza scripts por lotes para recopilar informaci\u00f3n del host y mapear el entorno local.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El adversario tambi\u00e9n utiliza una amplia gama de herramientas para facilitar el robo de credenciales:<\/p>\n

\u00abUtilizando principalmente herramientas de c\u00f3digo abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con \u00e9xito operaciones sigilosas mientras se infiltraba en organizaciones cr\u00edticas\u00bb, concluy\u00f3 la Unidad 42.<\/p>\n

\u00abEste grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltraci\u00f3n de datos confidenciales de infraestructura cr\u00edtica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todav\u00eda no podemos descartar por completo intenciones cibercriminales\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campa\u00f1a de a\u00f1os. La actividad, que se ha dirigido a los sectores de aviaci\u00f3n, energ\u00eda, gobierno, aplicaci\u00f3n de la ley, farmac\u00e9utica, tecnolog\u00eda y telecomunicaciones, ha sido atribuida por la […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[612,233,611,24,609,429,610,607,87,608,234],"class_list":["post-185","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-asiatica","tag-ataques","tag-critica","tag-cyberdefensa-mx","tag-dirigidos","tag-explotaciones","tag-infraestructura","tag-mimikatz","tag-servidores","tag-utilizados","tag-web"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/185","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=185"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/185\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=185"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=185"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=185"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}