{"id":400,"date":"2026-03-30T08:45:57","date_gmt":"2026-03-30T08:45:57","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/30\/tres-grupos-vinculados-a-china-apuntan-al-gobierno-del-sudeste-asiatico-en-la-campana-cibernetica-2025-cyberdefensa-mx\/"},"modified":"2026-03-30T08:45:57","modified_gmt":"2026-03-30T08:45:57","slug":"tres-grupos-vinculados-a-china-apuntan-al-gobierno-del-sudeste-asiatico-en-la-campana-cibernetica-2025-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/30\/tres-grupos-vinculados-a-china-apuntan-al-gobierno-del-sudeste-asiatico-en-la-campana-cibernetica-2025-cyberdefensa-mx\/","title":{"rendered":"Tres grupos vinculados a China apuntan al gobierno del sudeste asi\u00e1tico en la campa\u00f1a cibern\u00e9tica 2025 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Tres grupos de actividades de amenazas alineados con China han apuntado a una organizaci\u00f3n gubernamental en el sudeste asi\u00e1tico como parte de lo que se ha descrito como una \u00aboperaci\u00f3n compleja y con buenos recursos\u00bb.<\/p>\n<p>Las campa\u00f1as han llevado a la implementaci\u00f3n de varias familias de malware, incluidas HIUPAN (tambi\u00e9n conocido como USBFect, MISTCLOAK o U2DiskWatch), PUBLOAD, EggStremeFuel (tambi\u00e9n conocido como RawCookie), EggStremeLoader (tambi\u00e9n conocido como Gorem RAT), MASOL RAT, <a href=\"https:\/\/advisories.checkpoint.com\/defense\/advisories\/public\/2018\/cpai-2018-0711.html\/\" rel=\"noopener\" target=\"_blank\">PoshRAT<\/a>TrackBak Stealer, RawCookie, Hypnosis Loader y FluffyGh0st.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El <a href=\"https:\/\/blogs.jpcert.or.jp\/en\/2026\/02\/jsac2026day1.html#:~:text=Attribution%20in%20Action%3A%20A%20Case%20Study%20of%20an%20Incident%20Involving%20Multiple%20Activity%20Clusters\" rel=\"noopener\" target=\"_blank\">actividad<\/a> se ha atribuido a los siguientes grupos:<\/p>\n<ul>\n<li>Junio \u200b\u200b- agosto de 2025: Mustang Panda (tambi\u00e9n conocido como Stately Taurus). <\/li>\n<li>Marzo \u2013 septiembre de 2025: CL-STA-1048, que se superpone con grupos documentados p\u00fablicamente bajo los apodos Earth Estries y Crimson Palace.<\/li>\n<li>Abril y agosto de 2025: CL-STA-1049, que se superpone con un grupo documentado p\u00fablicamente conocido como Unfading Sea Haze.<\/li>\n<\/ul>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgpKEf0nTOqVhyphenhyphenWLgLDFut3jYT_2ZkXa5le5FtX1e4tYw9Yw0tIFlFao2RfO98jocePLmAiUpMNlD-kAeqOXZi8z2N2FD3gRvNMP59Uzvw83ZHfASO123VkMGEpaiW_QFF8QjAz9g97cXw5Hm_sXuAQg5i-VU7Qw5fXK9PWm1i0Wx4In-UU-S2zGSm5nfHz\/s1700-e365\/time.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgpKEf0nTOqVhyphenhyphenWLgLDFut3jYT_2ZkXa5le5FtX1e4tYw9Yw0tIFlFao2RfO98jocePLmAiUpMNlD-kAeqOXZi8z2N2FD3gRvNMP59Uzvw83ZHfASO123VkMGEpaiW_QFF8QjAz9g97cXw5Hm_sXuAQg5i-VU7Qw5fXK9PWm1i0Wx4In-UU-S2zGSm5nfHz\/s1700-e365\/time.png\" alt=\"\" border=\"0\" data-original-height=\"760\" data-original-width=\"2384\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Cronograma de actividades<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u00abEstos grupos de actividades se superponen con campa\u00f1as informadas p\u00fablicamente destinadas a establecer un acceso persistente\u00bb, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Doel Santos y Hiroaki Hara. <a href=\"https:\/\/unit42.paloaltonetworks.com\/espionage-campaigns-target-se-asian-government-org\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLa superposici\u00f3n significativa de t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) con campa\u00f1as conocidas alineadas con China sugiere que los grupos y el grupo de amenaza tienen un objetivo de inter\u00e9s com\u00fan, coordinando potencialmente sus esfuerzos\u00bb.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiI2g2aSHQq-IjHtKBGTRYwQ4HufO6qLf5ClaRv2E4yIm2_L4OX1Y8mfgWV4ZY2GQvvuyIbTk17t5N8DBNFDfo655iuQHBGMdCFArdIaNIIweuK1GG-HneJd26rqh2vP908IYhC8wpXSUNEZCNetDoCutEvVHuUoIc8LHKZapVLss7HWuTuRbVkQrJH01XA\/s1700-e365\/rawcookie.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiI2g2aSHQq-IjHtKBGTRYwQ4HufO6qLf5ClaRv2E4yIm2_L4OX1Y8mfgWV4ZY2GQvvuyIbTk17t5N8DBNFDfo655iuQHBGMdCFArdIaNIIweuK1GG-HneJd26rqh2vP908IYhC8wpXSUNEZCNetDoCutEvVHuUoIc8LHKZapVLss7HWuTuRbVkQrJH01XA\/s1700-e365\/rawcookie.png\" alt=\"\" border=\"0\" data-original-height=\"1018\" data-original-width=\"1680\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Cadena de infecci\u00f3n de CL-STA-1048 26m<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>La actividad de Mustang Panda, registrada entre el 1 de junio y el 15 de agosto de 2025, implic\u00f3 el uso de un malware basado en USB conocido como HIUPAN para entregar la puerta trasera PUBLOAD mediante una DLL maliciosa con nombre en c\u00f3digo Claimloader. El primer uso registrado de las fechas de Claimloader por parte del actor de amenazas <a href=\"https:\/\/www.lac.co.jp\/lacwatch\/report\/20221117_003189.html\" rel=\"noopener\" target=\"_blank\">volver a finales de 2022<\/a> en ataques contra organizaciones gubernamentales en Filipinas. <\/p>\n<p>Un an\u00e1lisis adicional de la red de v\u00edctimas ha descubierto la implementaci\u00f3n de COOLCLIENT, otra puerta trasera conocida atribuida a Mustang Panda durante m\u00e1s de tres a\u00f1os. Admite descarga\/carga de archivos, grabaci\u00f3n de pulsaciones de teclas, tunelizaci\u00f3n de paquetes y captura de informaci\u00f3n de mapas de puertos.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-dr-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgqhIRUj1YTC94RNdUGjmL9vDt5o56pkuKHyTGP8DvhM0bsTe7VSW-pHKY9HaAKsXk4J3x3gREcX_ZtLx04zPaI1UqHjcBD9QquXjOczTKwcJeGnTUqH73_QRG4d0Ki0KBKChGP48m-7VzU7UTgCWdz7hBtd51XbCyMUXu9PBBQt1sbO1V4WLWu4QrEBTZA\/s728-e100\/ciso-dark-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Las herramientas utilizadas por CL-STA-1048 var\u00edan ya que son ruidosas.<\/p>\n<ul>\n<li>EggStremeFuel, una puerta trasera liviana que est\u00e1 equipada para descargar\/cargar archivos, enumerar archivos y directorios, iniciar o finalizar un shell inverso, enviar la direcci\u00f3n IP global actual y actualizar la configuraci\u00f3n C2.<\/li>\n<li>EggStremeLoader, otro componente del marco de malware EggStreme lanzado por EggStremeFuel. Admite 59 comandos de puerta trasera para respaldar un robo de datos extenso. Esto incluye una variante que facilita la descarga\/carga de archivos a trav\u00e9s de Dropbox.<\/li>\n<li>MASOL RAT (tambi\u00e9n conocido como Backdr-NQ), un troyano de acceso remoto con funciones de descarga\/carga de archivos y ejecuci\u00f3n de comandos arbitrarios.<\/li>\n<li>TrackBak, un ladr\u00f3n de informaci\u00f3n que recopila registros, datos del portapapeles, informaci\u00f3n de red y archivos de las unidades.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEje12MdP1Gu0sccHYx7WTYX7iKP4whJFQEHhZgQWZfcFXLmB9riw82Ohi4jcg7k0ulsb1as8Pdv1PuFqDxXDoFbfLoZOhbCDL88ACw-yKbd8l2L6U9_VxpK8eiOe1fjBpWB_BzsjbPhxtzqyezArWQ-FwgFd3tOkTExrD_8bLMzTPg9OsH4SGeqPKutCrTu\/s1700-e365\/EggStreme.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEje12MdP1Gu0sccHYx7WTYX7iKP4whJFQEHhZgQWZfcFXLmB9riw82Ohi4jcg7k0ulsb1as8Pdv1PuFqDxXDoFbfLoZOhbCDL88ACw-yKbd8l2L6U9_VxpK8eiOe1fjBpWB_BzsjbPhxtzqyezArWQ-FwgFd3tOkTExrD_8bLMzTPg9OsH4SGeqPKutCrTu\/s1700-e365\/EggStreme.png\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"1431\"\/><\/a><\/div>\n<p>La actividad vinculada a CL-STA-1049, por otro lado, implica el uso de un novedoso cargador de DLL llamado Hypnosis Loader, que se inicia mediante carga lateral de DLL, para finalmente instalar FluffyGh0st RAT. El vector de acceso inicial exacto utilizado por CL-STA-1048 y CL-STA-1049 a\u00fan no est\u00e1 claro.<\/p>\n<p>\u00abLa convergencia de estos grupos de actividades, todos los cuales muestran v\u00ednculos con actores conocidos alineados con China, apunta a un esfuerzo coordinado para lograr un objetivo estrat\u00e9gico com\u00fan\u00bb, dijo la Unidad 42. \u00abLa metodolog\u00eda de los atacantes indica que pretend\u00edan obtener acceso persistente y a largo plazo a redes gubernamentales sensibles, no s\u00f3lo causar interrupciones\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Tres grupos de actividades de amenazas alineados con China han apuntado a una organizaci\u00f3n gubernamental en el sudeste asi\u00e1tico como parte de lo que se ha descrito como una \u00aboperaci\u00f3n compleja y con buenos recursos\u00bb. Las campa\u00f1as han llevado a la implementaci\u00f3n de varias familias de malware, incluidas HIUPAN (tambi\u00e9n conocido como USBFect, MISTCLOAK o [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[783,753,133,200,593,24,70,1018,585,752,1389,400],"class_list":["post-400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apuntan","tag-asiatico","tag-campana","tag-china","tag-cibernetica","tag-cyberdefensa-mx","tag-del","tag-gobierno","tag-grupos","tag-sudeste","tag-tres","tag-vinculados"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=400"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/400\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}