Investigadores de ciberseguridad han revelado detalles de una nueva campaña de espionaje alineada con China dirigida a sectores gubernamentales y de defensa en todo el sur, este y sudeste de Asia, junto con un gobierno europeo perteneciente a la OTAN.
Trend Micro ha atribuido la actividad a un grupo de actividades de amenazas que rastrea bajo la designación temporal. SOMBRA-TIERRA-053. Se considera que el colectivo adversario está activo desde al menos diciembre de 2024, aunque comparte cierto nivel de superposición de red con CL-STA-0049, Tierra Alux y REF7707.
«El grupo explota las vulnerabilidades del día N en los servidores Microsoft Exchange y Internet Information Services (IIS) con acceso a Internet (por ejemplo, Inicio de sesión proxy cadena), luego implementa shells web (Godzilla) para acceso persistente y etapas SombraPad implantes mediante descarga DLL de ejecutables firmados legítimos», afirman los investigadores de seguridad Daniel Lunghi y Lucas Silva. dicho en un análisis.
Los objetivos de las campañas incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. El único país europeo que figura en la huella victimológica del actor de amenazas es Polonia.
El proveedor de ciberseguridad dijo que observó casi la mitad de los objetivos de SHADOW-EARTH-053, particularmente aquellos en Malasia, Sri Lanka y Myanmar, también comprometidos anteriormente por un conjunto de intrusiones relacionado denominado SHADOW-EARTH-054, aunque no se ha observado evidencia de coordinación operativa directa.
El punto de partida de los ataques es la explotación de fallos de seguridad conocidos para violar sistemas sin parches y lanzar web shells como Godzilla para facilitar el acceso remoto persistente. Los web shells funcionan como un vehículo de entrega para la ejecución de comandos, lo que permite el reconocimiento y, en última instancia, da como resultado la implementación de la puerta trasera ShadowPad a través de AnyDesk. El malware se inicia mediante carga lateral de DLL.
En al menos un caso, la militarización del reaccionar2shell (CVE-2025-55182) se dice que facilitó la distribución de una versión Linux de Fideos RATA (también conocido como ANGRYREBEL y Nood RAT). Vale la pena mencionar aquí que Google Threat Intelligence Group (GTIG) vinculó esta cadena de ataque a un grupo conocido como UNC6595.
También se utilizan herramientas de tunelización de código abierto como IOX, GO Simple Tunnel (GOST) y Wstunnel, así como AnilloQ para empaquetar archivos binarios maliciosos y evadir la detección. Para facilitar la escalada de privilegios, se ha descubierto que SHADOW-EARTH-053 utiliza Mimikatz, mientras que el movimiento lateral se logra utilizando un iniciador de protocolo de escritorio remoto (RDP) personalizado y una implementación C# de SMBExec conocida como Sharp-SMBExec.
«El principal vector de entrada utilizado en esta campaña fueron las vulnerabilidades en las aplicaciones IIS conectadas a Internet», dijo Trend Micro. «Las organizaciones deben priorizar la aplicación de las últimas actualizaciones de seguridad y parches acumulativos a Microsoft Exchange y cualquier aplicación web alojada en IIS».
«En escenarios donde la aplicación de parches inmediatos no es factible, recomendamos encarecidamente implementar sistemas de prevención de intrusiones (IPS) o firewalls de aplicaciones web (WAF) con conjuntos de reglas específicamente ajustados para bloquear intentos de explotación contra estos conocidos CVE (parches virtuales)».
GLITTER CARP y SEQUIN CARP persiguen a activistas y periodistas
La divulgación se produce cuando Citizen Lab señaló una nueva campaña de phishing emprendida por dos actores de amenazas distintos afiliados a China que apuntan y se hacen pasar por periodistas y la sociedad civil, incluidos activistas de la diáspora uigures, tibetanos, taiwaneses y de Hong Kong. Las campañas de amplio alcance se detectaron por primera vez en abril y junio de 2025, respectivamente.
Los grupos han sido nombrados en código. CARPA BRILLANTEque ha destacado al Consorcio Internacional de Periodistas de Investigación (ICIJ), y CARPA DE LENTEJUELAScuyo objetivo principal era la periodista del ICIJ Scilla Alecci y otros periodistas internacionales que escribían sobre temas de interés crítico para el gobierno chino.
«El actor emplea esquemas de suplantación de identidad digital bien pensados en correos electrónicos de phishing, incluida la suplantación de personas conocidas y alertas de seguridad de empresas de tecnología», dijo Citizen Lab. dicho. «Aunque los grupos objetivo varían, esta actividad emplea la misma infraestructura y tácticas en todos los casos, reutilizando con frecuencia los mismos dominios y las mismas personas suplantadas en múltiples objetivos».
GLITTER CARP, además de realizar ataques de phishing a gran escala, ha estado vinculado a campañas de phishing dirigidas a la industria de semiconductores de Taiwán. Algunos aspectos de estos esfuerzos fueron previamente documentado por Proofpoint en julio de 2025 con el nombre UNK_SparkyCarp. SEQUIN CARP (también conocido como UNK_DualTone), por otro lado, comparte similitudes con un grupo seguido por Volexity como UTA0388 y un conjunto de intrusiones detallado por Trend Micro como TAOTH.
El objetivo final de las campañas es obtener acceso inicial a cuentas de correo electrónico mediante la recolección de credenciales, páginas de phishing o mediante ingeniería social al objetivo para que otorgue acceso a un token OAuth de terceros. Los correos electrónicos de phishing de GLITTER CARP también implican el uso de píxeles de seguimiento 1×1 que apuntan a una URL en el dominio del atacante para recopilar información del dispositivo y confirmar si fueron abiertos por los destinatarios.
Citizen Lab dijo que «observó ataques simultáneos a organizaciones específicas utilizando tanto el kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) como la entrega de HealthKick utilizando diferentes tácticas de phishing por parte de un grupo separado (UNK_DropPitch)». Esto indica cierto nivel de superposición entre estos grupos, añadió, aunque la naturaleza precisa de la relación sigue siendo desconocida.
«Nuestro análisis de los ataques GLITTER CARP y SEQUIN CARP muestra que la represión transnacional digital opera cada vez más a través de una red distribuida de actores», dijo la unidad de investigación. «Los objetivos que identificamos tanto en GLITTER CARP como en SEQUIN CARP se alinean con las prioridades de inteligencia del gobierno chino».
«La amplitud de los objetivos documentados en este informe y en otros, combinada con la información disponible sobre el uso pasado y actual de contratistas por parte de China, que refleja la actividad que hemos observado, sugiere con un nivel medio de confianza que las entidades comerciales contratadas por el Estado chino pueden haber estado detrás de ambos grupos de actividad descritos aquí».
Cuando se le contactó para hacer comentarios, Mark Kelly, investigador de amenazas de Proofpoint, dijo a The Hacker News por correo electrónico que tanto UNK_SparkyCarp como UNK_DualTone han llevado a cabo actividades de phishing centradas en la identidad contra una variedad de objetivos, caracterizando el ataque a miembros de la sociedad civil como probablemente una «característica de larga data de los ataques de estos grupos» en lugar de un cambio reciente.
«Hemos observado a UNK_SparkyCarp (GLITTER CARP) realizar actividades de phishing de credenciales contra objetivos del sector académico, político, de semiconductores y legal en los Estados Unidos, Europa y Taiwán», añadió Kelly. «No hemos observado que el grupo apunte específicamente a la sociedad civil».
«Sin embargo, es muy probable que esto sea resultado de nuestra visibilidad, y estamos de acuerdo con la atribución contenida en los informes de Citizen Lab. Entendemos que el grupo ha estado muy activo en atacar a grupos de la sociedad civil de interés para el gobierno chino durante algún tiempo, lo que está respaldado además por dominios que suplantan a grupos percibidos de oposición, como Falun Gong, que datan de hace varios años».
Proofpoint también señaló que detectó UNK_DualTone apuntando a múltiples periodistas radicados en EE. UU. en mayo de 2025, y que la actividad se alinea estrechamente con una campaña que utiliza señuelos relacionados con las protestas planificadas con motivo del Desfile del 250 Aniversario del Ejército de EE. UU.
(La historia se actualizó después de su publicación el 2 de mayo de 2026, con información adicional de Proofpoint).
Fuente