{"id":638,"date":"2026-04-22T16:24:04","date_gmt":"2026-04-22T16:24:04","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/harvester-implementa-la-puerta-trasera-gogra-de-linux-en-el-sur-de-asia-utilizando-la-api-microsoft-graph-cyberdefensa-mx\/"},"modified":"2026-04-22T16:24:04","modified_gmt":"2026-04-22T16:24:04","slug":"harvester-implementa-la-puerta-trasera-gogra-de-linux-en-el-sur-de-asia-utilizando-la-api-microsoft-graph-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/harvester-implementa-la-puerta-trasera-gogra-de-linux-en-el-sur-de-asia-utilizando-la-api-microsoft-graph-cyberdefensa-mx\/","title":{"rendered":"Harvester implementa la puerta trasera GoGra de Linux en el sur de Asia utilizando la API Microsoft Graph \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>El actor de amenazas conocido como <b>Segador <\/b>se ha atribuido a una nueva versi\u00f3n Linux de su <strong>GoGra<\/strong> puerta trasera desplegada como parte de ataques probablemente dirigidos a entidades en el sur de Asia.<\/p>\n<p>\u00abEl malware utiliza la API leg\u00edtima de Microsoft Graph y los buzones de correo de Outlook como un canal encubierto de comando y control (C2), lo que le permite eludir las defensas tradicionales de la red perimetral\u00bb, dijo el equipo Symantec y Carbon Black Threat Hunter. <a href=\"https:\/\/www.security.com\/threat-intelligence\/harvester-new-linux-backdoor-gogra\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>La empresa de ciberseguridad dijo que identific\u00f3 artefactos cargados en la plataforma VirusTotal desde India y Afganist\u00e1n, lo que sugiere que los dos pa\u00edses pueden ser el objetivo de la actividad de espionaje.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Symantec document\u00f3 p\u00fablicamente por primera vez a Harvester a finales de 2021, vincul\u00e1ndolo con una campa\u00f1a de robo de informaci\u00f3n dirigida a los sectores de telecomunicaciones, gobierno y tecnolog\u00eda de la informaci\u00f3n en el sur de Asia desde junio de 2021, utilizando un implante personalizado llamado Graphon que utilizaba la API Microsoft Graph para C2.<\/p>\n<p>La actividad posterior se\u00f1alada en agosto de 2024 conect\u00f3 al grupo de piratas inform\u00e1ticos con un ataque dirigido a una organizaci\u00f3n de medios an\u00f3nima en el sur de Asia con una puerta trasera basada en Go nunca antes vista llamada GoGra. Los \u00faltimos hallazgos sugieren que el adversario contin\u00faa expandiendo su conjunto de herramientas m\u00e1s all\u00e1 de Windows e infectando m\u00e1quinas Linux con una nueva variante de la misma puerta trasera.<\/p>\n<p>Los ataques emplean ingenier\u00eda social para enga\u00f1ar a las v\u00edctimas para que abran archivos binarios ELF disfrazados de documentos PDF. Luego, el cuentagotas procede a mostrar un documento se\u00f1uelo mientras abre sigilosamente la puerta trasera.<\/p>\n<p>Al igual que su contraparte de Windows, la versi\u00f3n Linux de GoGra abusa de la infraestructura de la nube de Microsoft para comunicarse con una carpeta espec\u00edfica del buz\u00f3n de correo de Outlook llamada \u00abZomato Pizza\u00bb cada dos segundos mediante consultas del Protocolo de datos abierto (OData). La puerta trasera escanea la bandeja de entrada en busca de mensajes de correo electr\u00f3nico entrantes con una l\u00ednea de asunto que comienza con la palabra \u00abEntrada\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Una vez que se recibe un correo electr\u00f3nico que coincide con los criterios, descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como comandos de shell usando \u00ab\/bin\/bash\u00bb. Los resultados de la ejecuci\u00f3n se env\u00edan al operador en un mensaje de correo electr\u00f3nico con el asunto \u00abSalida\u00bb. Una vez completado el paso de exfiltraci\u00f3n, el implante borra el mensaje de tarea original para cubrir las huellas.<\/p>\n<p>\u00abA pesar de utilizar diferentes arquitecturas de implementaci\u00f3n y sistemas operativos, la l\u00f3gica subyacente de C2 permanece sin cambios\u00bb, dijeron Symantec y Carbon Black, y agregaron que los equipos \u00abtambi\u00e9n identificaron varios errores ortogr\u00e1ficos codificados y coincidentes en ambas plataformas, lo que apunta a que el mismo desarrollador est\u00e1 detr\u00e1s de ambas herramientas\u00bb.<\/p>\n<p>\u00abEl uso de una nueva puerta trasera de Linux muestra que Harvester contin\u00faa expandiendo su conjunto de herramientas y desarrollando activamente nuevas herramientas para atacar a una gama m\u00e1s amplia de v\u00edctimas y m\u00e1quinas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas conocido como Segador se ha atribuido a una nueva versi\u00f3n Linux de su GoGra puerta trasera desplegada como parte de ataques probablemente dirigidos a entidades en el sur de Asia. \u00abEl malware utiliza la API leg\u00edtima de Microsoft Graph y los buzones de correo de Outlook como un canal encubierto de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[49,1426,24,2016,2017,2015,226,15,50,32,551,33,330],"class_list":["post-638","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-api","tag-asia","tag-cyberdefensa-mx","tag-gogra","tag-graph","tag-harvester","tag-implementa","tag-linux","tag-microsoft","tag-puerta","tag-sur","tag-trasera","tag-utilizando"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=638"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/638\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=638"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}