{"id":664,"date":"2026-04-24T11:33:09","date_gmt":"2026-04-24T11:33:09","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/tropic-trooper-utiliza-sumatrapdf-y-github-troyanizados-para-implementar-adaptixc2-cyberdefensa-mx\/"},"modified":"2026-04-24T11:33:09","modified_gmt":"2026-04-24T11:33:09","slug":"tropic-trooper-utiliza-sumatrapdf-y-github-troyanizados-para-implementar-adaptixc2-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/tropic-trooper-utiliza-sumatrapdf-y-github-troyanizados-para-implementar-adaptixc2-cyberdefensa-mx\/","title":{"rendered":"Tropic Trooper utiliza SumatraPDF y GitHub troyanizados para implementar AdaptixC2 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Las personas de habla china son el objetivo de una nueva campa\u00f1a que utiliza una versi\u00f3n troyanizada del lector SumatraPDF para implementar el <a href=\"https:\/\/unit42.paloaltonetworks.com\/adaptixc2-post-exploitation-framework\/\">AdaptixC2<\/a> Se\u00f1ale al agente posterior a la explotaci\u00f3n y, en \u00faltima instancia, facilite el abuso de los t\u00faneles de Microsoft Visual Studio Code (VS Code) para el acceso remoto.<\/p>\n<p>Zscaler ThreatLabz, que descubri\u00f3 la campa\u00f1a el mes pasado, la ha atribuido con gran confianza a <strong>Soldado tropical<\/strong> (tambi\u00e9n conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda), un grupo de hackers conocido por atacar varias entidades en Taiw\u00e1n, Hong Kong y Filipinas. Se estima que est\u00e1 activo desde al menos 2011.<\/p>\n<p>\u00abLos actores de amenazas crearon un oyente AdaptixC2 Beacon personalizado, aprovechando GitHub como su plataforma de comando y control (C2)\u00bb, dijo el investigador de seguridad Yin Hong Chang. <a href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/tropic-trooper-pivots-adaptixc2-and-custom-beacon-listener\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se cree que los objetivos de la campa\u00f1a son personas de habla china en Taiw\u00e1n y personas de Corea del Sur y Jap\u00f3n. El punto de partida del ataque es un archivo ZIP que contiene documentos se\u00f1uelo de tem\u00e1tica militar para iniciar la versi\u00f3n fraudulenta de SumatraPDF, que luego se utiliza para mostrar un documento PDF se\u00f1uelo, mientras que simult\u00e1neamente se recupera el c\u00f3digo shell cifrado de un servidor provisional para iniciar AdaptixC2 Beacon.<\/p>\n<p>Para lograr esto, el ejecutable SumatraPDF con puerta trasera lanza una versi\u00f3n ligeramente modificada de un cargador con nombre en c\u00f3digo TOSHIS, que es una variante de Xiangoop, un malware vinculado a Tropic Trooper, y que se ha utilizado en el pasado para recuperar cargas \u00fatiles de la siguiente etapa como Cobalt Strike Beacon o el agente Merlin para el marco Mythic.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg21UOEYsyDAlO4-FqgPfxdudr_S4GOyGRQnr4hvFWOk4A4wBPfcIoIp055IkqauWRSdcNWJtLOu_7bE-ytxZoosbHAM_5x0cQJWHXABEN0v0nZev0LZJz2Qj0k3azb-XUnDx9BBbw4ofhCBbxynZtxRNahjnJKUyu8yIK-ft7nKIYR_fVgYK80oSRmr0QC\/s1700-e365\/zz.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg21UOEYsyDAlO4-FqgPfxdudr_S4GOyGRQnr4hvFWOk4A4wBPfcIoIp055IkqauWRSdcNWJtLOu_7bE-ytxZoosbHAM_5x0cQJWHXABEN0v0nZev0LZJz2Qj0k3azb-XUnDx9BBbw4ofhCBbxynZtxRNahjnJKUyu8yIK-ft7nKIYR_fVgYK80oSRmr0QC\/s1700-e365\/zz.jpg\" alt=\"\" border=\"0\" data-original-height=\"809\" data-original-width=\"1080\"\/><\/a><\/div>\n<p>El cargador es responsable de activar el ataque de varias etapas, soltando tanto el documento se\u00f1uelo como mecanismo de distracci\u00f3n como el agente AdaptixC2 Beacon en segundo plano. El agente emplea GitHub para C2, dirigi\u00e9ndose a la infraestructura controlada por el atacante para buscar tareas que se ejecutar\u00e1n en el host comprometido.<\/p>\n<p>El ataque pasa a la siguiente etapa solo cuando la v\u00edctima se considera valiosa, momento en el que el actor de la amenaza implementa VS Code y configura t\u00faneles de VS Code para acceso remoto. En m\u00e1quinas seleccionadas, se ha descubierto que el actor de amenazas instala aplicaciones troyanizadas alternativas, probablemente en un intento de camuflar mejor sus acciones.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Es m\u00e1s, el servidor intermedio involucrado en la intrusi\u00f3n (\u00ab158.247.193[.]100\u00bb) alberga una baliza Cobalt Strike y una puerta trasera personalizada llamada <a href=\"https:\/\/hitcon.org\/2024\/CMT\/slides\/Pirates_of_The_Nang_Hai_Follow_the_Artifacts_of_Tropic_Trooper,_No_One_Knows.pdf\">EntradaShell<\/a>los cuales han sido utilizados por Tropic Trooper en el pasado.<\/p>\n<p>\u00abAl igual que en la campa\u00f1a TAOTH, las puertas traseras disponibles p\u00fablicamente se utilizan como cargas \u00fatiles\u00bb, dijo Zscaler. \u00abSi bien anteriormente se usaban Cobalt Strike Beacon y Mythic Merlin, el actor de amenazas ahora ha pasado a AdaptixC2\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Las personas de habla china son el objetivo de una nueva campa\u00f1a que utiliza una versi\u00f3n troyanizada del lector SumatraPDF para implementar el AdaptixC2 Se\u00f1ale al agente posterior a la explotaci\u00f3n y, en \u00faltima instancia, facilite el abuso de los t\u00faneles de Microsoft Visual Studio Code (VS Code) para el acceso remoto. Zscaler ThreatLabz, que [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[2080,24,931,530,36,2078,2077,2076,2079,216],"class_list":["post-664","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-adaptixc2","tag-cyberdefensa-mx","tag-github","tag-implementar","tag-para","tag-sumatrapdf","tag-trooper","tag-tropic","tag-troyanizados","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=664"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/664\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}