{"id":250,"date":"2026-03-13T18:50:28","date_gmt":"2026-03-13T18:50:28","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/los-piratas-informaticos-chinos-atacan-a-los-militares-del-sudeste-asiatico-con-el-malware-applechris-y-memfun-cyberdefensa-mx\/"},"modified":"2026-03-13T18:50:28","modified_gmt":"2026-03-13T18:50:28","slug":"los-piratas-informaticos-chinos-atacan-a-los-militares-del-sudeste-asiatico-con-el-malware-applechris-y-memfun-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/los-piratas-informaticos-chinos-atacan-a-los-militares-del-sudeste-asiatico-con-el-malware-applechris-y-memfun-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos atacan a los militares del sudeste asi\u00e1tico con el malware AppleChris y MemFun \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una supuesta operaci\u00f3n de ciberespionaje con sede en China se ha dirigido a organizaciones militares del sudeste asi\u00e1tico como parte de una campa\u00f1a patrocinada por el Estado que se remonta al menos a 2020.<\/p>\n

La Unidad 42 de Palo Alto Networks est\u00e1 rastreando la actividad de amenazas bajo el apodo CL-STA-1087<\/a><\/strong>donde CL se refiere a grupo y STA significa motivaci\u00f3n respaldada por el estado.<\/p>\n

\u00abLa actividad demostr\u00f3 paciencia operativa estrat\u00e9gica y un enfoque en la recopilaci\u00f3n de inteligencia muy espec\u00edfica, en lugar del robo masivo de datos\u00bb, dijeron los investigadores de seguridad Lior Rochberger y Yoav Zemah. \u00abLos atacantes detr\u00e1s de este grupo buscaron y recopilaron activamente archivos muy espec\u00edficos sobre capacidades militares, estructuras organizativas y esfuerzos de colaboraci\u00f3n con las fuerzas armadas occidentales\u00bb.<\/p>\n

La campa\u00f1a exhibe caracter\u00edsticas com\u00fanmente asociadas con operaciones avanzadas de amenazas persistentes (APT), incluidos m\u00e9todos de entrega cuidadosamente dise\u00f1ados, estrategias de evasi\u00f3n de defensa, infraestructura operativa altamente estable e implementaci\u00f3n de carga \u00fatil personalizada dise\u00f1ada para respaldar el acceso no autorizado sostenido a sistemas comprometidos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Las herramientas utilizadas por el actor de amenazas en la actividad maliciosa incluyen puertas traseras llamadas AppleChris y MemFun, y un recolector de credenciales llamado Getpass.<\/p>\n

El proveedor de ciberseguridad dijo que detect\u00f3 la intrusi\u00f3n despu\u00e9s de identificar una ejecuci\u00f3n sospechosa de PowerShell, lo que permiti\u00f3 que el script entrara en estado de suspensi\u00f3n durante seis horas y luego creara shells inversos para un servidor de comando y control (C2) controlado por el actor de amenazas. A\u00fan se desconoce el vector de acceso inicial exacto utilizado en el ataque.<\/p>\n

La secuencia de infecci\u00f3n implica la implementaci\u00f3n de AppleChris, cuyas diferentes versiones se colocan en los puntos finales de destino luego del movimiento lateral para mantener la persistencia y evadir la detecci\u00f3n basada en firmas. Tambi\u00e9n se ha observado a los actores de amenazas realizando b\u00fasquedas relacionadas con actas de reuniones oficiales, actividades militares conjuntas y evaluaciones detalladas de las capacidades operativas.<\/p>\n

\u00abLos atacantes mostraron particular inter\u00e9s en archivos relacionados con estructuras y estrategias organizativas militares, incluidos sistemas de comando, control, comunicaciones, computadoras e inteligencia (C4I)\u00bb, se\u00f1alaron los investigadores.<\/p>\n

Tanto las variantes de AppleChris como MemFun est\u00e1n dise\u00f1adas para acceder a una cuenta compartida de Pastebin, que act\u00faa como un solucionador de ca\u00edda muerta<\/a> para recuperar la direcci\u00f3n C2 real almacenada en formato decodificado en Base64. Una versi\u00f3n de AppleChris tambi\u00e9n depende de Dropbox para extraer la informaci\u00f3n C2, con el enfoque basado en Pastebin utilizado como opci\u00f3n alternativa. Las pastas Pastebin datan de septiembre de 2020.<\/p>\n

Lanzado a trav\u00e9s de secuestro de DLL<\/a>AppleChris inicia contacto con el servidor C2 para recibir comandos que le permiten realizar enumeraciones de unidades, listados de directorios, carga\/descarga\/eliminaci\u00f3n de archivos, enumeraci\u00f3n de procesos, ejecuci\u00f3n remota de shell y creaci\u00f3n silenciosa de procesos.<\/p>\n

La segunda variante del tunelizador representa una evoluci\u00f3n de su predecesor, utilizando solo Pastebin para obtener la direcci\u00f3n C2, adem\u00e1s de introducir capacidades avanzadas de proxy de red.<\/p>\n

\u00abPara eludir los sistemas de seguridad automatizados, algunas de las variantes de malware emplean t\u00e1cticas de evasi\u00f3n de espacio aislado en tiempo de ejecuci\u00f3n\u00bb, dijo la Unidad 42. \u00abEstas variantes desencadenan una ejecuci\u00f3n retrasada a trav\u00e9s de temporizadores de suspensi\u00f3n de 30 segundos (EXE) y 120 segundos (DLL), lo que dura m\u00e1s que las t\u00edpicas ventanas de monitoreo de los entornos aislados automatizados\u00bb.<\/p>\n

MemFun se inicia mediante una cadena de varias etapas: un cargador inicial inyecta un c\u00f3digo shell responsable de iniciar un descargador en memoria, cuyo objetivo principal es recuperar los detalles de configuraci\u00f3n de C2 de Pastebin, comunicarse con el servidor C2 y obtener una DLL que, a su vez, activa la ejecuci\u00f3n de la puerta trasera.<\/p>\n

Dado que la DLL se obtiene del C2 en tiempo de ejecuci\u00f3n, les brinda a los actores de amenazas la capacidad de entregar f\u00e1cilmente otras cargas \u00fatiles sin tener que cambiar nada. Este comportamiento transforma a MemFun en una plataforma de malware modular en lugar de una puerta trasera est\u00e1tica como AppleChris.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La ejecuci\u00f3n de MemFun comienza con un cuentagotas que ejecuta comprobaciones antiforenses antes de alterar su propia marca de tiempo de creaci\u00f3n de archivos para que coincida con la hora de creaci\u00f3n del directorio del sistema de Windows. Posteriormente, inyecta la carga \u00fatil principal en la memoria de un proceso suspendido asociado con \u00abdllhost.exe\u00bb utilizando una t\u00e9cnica denominada proceso de vaciado<\/a>.<\/p>\n

Al hacerlo, el malware se ejecuta bajo la apariencia de un proceso leg\u00edtimo de Windows para pasar desapercibido y evitar dejar artefactos adicionales en el disco. <\/p>\n

Tambi\u00e9n se utiliza en los ataques una versi\u00f3n personalizada de Mimikatz conocida como Getpass que aumenta los privilegios e intenta extraer contrase\u00f1as de texto plano, hashes NTLM y datos de autenticaci\u00f3n directamente desde la memoria del proceso \u00ablsass.exe\u00bb.<\/p>\n

\u00abEl actor de amenazas detr\u00e1s del cl\u00faster demostr\u00f3 paciencia operativa y conciencia de seguridad\u00bb, concluy\u00f3 la Unidad 42. \u00abMantuvieron el acceso inactivo durante meses mientras se concentraban en la recopilaci\u00f3n de inteligencia de precisi\u00f3n e implementaban s\u00f3lidas medidas de seguridad operativa para garantizar la longevidad de la campa\u00f1a\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una supuesta operaci\u00f3n de ciberespionaje con sede en China se ha dirigido a organizaciones militares del sudeste asi\u00e1tico como parte de una campa\u00f1a patrocinada por el Estado que se remonta al menos a 2020. La Unidad 42 de Palo Alto Networks est\u00e1 rastreando la actividad de amenazas bajo el apodo CL-STA-1087donde CL se refiere a […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[875,753,543,159,31,24,70,540,52,60,876,874,539,752],"class_list":["post-250","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-applechris","tag-asiatico","tag-atacan","tag-chinos","tag-con","tag-cyberdefensa-mx","tag-del","tag-informaticos","tag-los","tag-malware","tag-memfun","tag-militares","tag-piratas","tag-sudeste"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=250"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/250\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}