Un actor de amenazas con vínculos con China ha sido atribuido a una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso, lo que marca la expansión del grupo de hackers al país más allá del sudeste asiático y América del Sur.
Symantec, propiedad de Broadcom, ha atribuido la actividad, que tuvo lugar de enero a mayo de 2025, a un actor de amenazas al que rastrea como joyaque según dijo se superpone con grupos conocidos como CL-STA-0049 (Unidad 42 de Palo Alto Networks), Tierra Alux (Tendencia Micro), y REF7707 (Laboratorios de Seguridad Elástica).
Los hallazgos sugieren que Rusia no está fuera del alcance de las operaciones de ciberespionaje chinas a pesar de aumentó «militar, económico y diplomático» relaciones entre Moscú y Beijing a lo largo de los años.
«Los atacantes tenían acceso a repositorios de códigos y sistemas de creación de software que potencialmente podrían aprovechar para llevar a cabo ataques a la cadena de suministro dirigidos a los clientes de la empresa en Rusia», dijo el equipo Symantec Threat Hunter. dicho en un informe compartido con The Hacker News. «Cabe destacar también que los atacantes estaban extrayendo datos a Yandex Cloud».
Se estima que Earth Alux está activo desde al menos el segundo trimestre de 2023, con ataques dirigidos principalmente a gobiernos, tecnología, logística, manufactura, telecomunicaciones, servicios de TI y comercio minorista en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM) para distribuir malware como VARGEIT y COBEACON (también conocido como Cobalt Strike Beacon).
Por otro lado, se ha observado que los ataques montados por CL-STA-0049/REF7707 distribuyen una puerta trasera avanzada llamada FINALDRAFT (también conocida como Squidoor) que es capaz de infectar sistemas tanto Windows como Linux. Los hallazgos de Symantec marcan la primera vez que estos dos grupos de actividades se unen.
En el ataque dirigido al proveedor de servicios de TI ruso, se dice que Jewelbug aprovechó una versión renombrada de Microsoft Console Debugger («cdb.exe»), que puede usarse para ejecutar shellcode y eludir la lista de aplicaciones permitidas, así como para iniciar ejecutables, ejecutar archivos DLL y finalizar soluciones de seguridad.
También se ha observado que el actor de amenazas desecha credenciales, establece persistencia a través de tareas programadas e intenta ocultar rastros de su actividad borrando los registros de eventos de Windows.
Apuntar a los proveedores de servicios de TI es estratégico, ya que abre la puerta a posibles ataques a la cadena de suministro, lo que permite a los actores de amenazas aprovechar el compromiso para atacar a varios clientes intermedios a la vez mediante actualizaciones de software maliciosos.
Además, Jewelbug también ha sido vinculado a una intrusión en una gran organización gubernamental sudamericana en julio de 2025, desplegando una puerta trasera previamente indocumentada que se dice que está en desarrollo, lo que subraya las capacidades en evolución del grupo. El malware utiliza Microsoft Graph API y OneDrive para comando y control (C2) y puede recopilar información del sistema, enumerar archivos de las máquinas específicas y cargar la información en OneDrive.
El uso de Microsoft Graph API permite que el actor de amenazas se mezcle con el tráfico normal de la red y deja artefactos forenses mínimos, lo que complica el análisis posterior al incidente y prolonga el tiempo de permanencia de los actores de amenazas.
Otros objetivos incluyen un proveedor de TI con sede en el sur de Asia y una empresa taiwanesa en octubre y noviembre de 2024, y el ataque a esta última aprovechó técnicas de carga lateral de DLL para eliminar cargas útiles maliciosas, incluido ShadowPad, una puerta trasera utilizada exclusivamente por grupos de hackers chinos.
La cadena de infección también se caracteriza por el despliegue de la herramienta KillAV para desactivar el software de seguridad y una herramienta disponible públicamente llamada EchoDrv, que permite el abuso de la vulnerabilidad de lectura/escritura del kernel en el controlador anti-trampas ECHOAC, como parte de lo que parece ser un ataque de «traiga su propio controlador vulnerable» (BYOVD).
También se aprovecharon LSASS y Mimikatz para volcar credenciales, herramientas disponibles gratuitamente como PrintNotifyPotato, Coerced Potato y Sweet Potato para descubrimiento y escalada de privilegios, y una utilidad de túnel SOCKS denominada Lombriz que ha sido utilizado por grupos de hackers chinos como Gelsemium y Lucky Mouse.
«La preferencia de Jewelbug por utilizar servicios en la nube y otras herramientas legítimas en sus operaciones indica que permanecer fuera del radar y establecer una presencia sigilosa y persistente en las redes de las víctimas es de suma importancia para este grupo», dijo Symantec.
La revelación se produce cuando la Oficina de Seguridad Nacional de Taiwán prevenido de un aumento de los ataques cibernéticos chinos dirigidos a sus departamentos gubernamentales, y denunció al «ejército de trolls en línea» de Beijing por intentar difundir contenido fabricado a través de redes sociales y socavar la confianza de la gente en el gobierno y sembrar desconfianza en los EE. UU., informó Reuters.
Fuente