Un actor de amenazas alineado con China con nombre en código UTA0388 se ha atribuido a una serie de campañas de phishing dirigidas a América del Norte, Asia y Europa que están diseñadas para entregar un implante basado en Go conocido como GOBIERNO.
«Las campañas inicialmente observadas se adaptaron a los objetivos, y los mensajes supuestamente fueron enviados por investigadores y analistas de alto nivel de organizaciones que parecían legítimas y completamente fabricadas», Volexity dicho en un informe del miércoles. «El objetivo de estas campañas de phishing era diseñar socialmente objetivos para que hicieran clic en enlaces que conducían a un archivo alojado remotamente que contenía una carga útil maliciosa».
Desde entonces, se dice que el actor de amenazas detrás de los ataques ha aprovechado diferentes señuelos e identidades ficticias, que abarcan varios idiomas, incluidos inglés, chino, japonés, francés y alemán.
Se ha descubierto que las primeras iteraciones de las campañas incorporan enlaces a contenido de phishing, ya sea alojado en un servicio basado en la nube o en su propia infraestructura, en algunos casos, lo que condujo a la implementación de malware. Sin embargo, las oleadas de seguimiento se han descrito como «altamente adaptadas», en las que los actores de la amenaza recurren a generar confianza con los destinatarios a lo largo del tiempo antes de enviar el enlace, una técnica llamada phishing para establecer relaciones.
Independientemente del enfoque utilizado, los enlaces conducen a un archivo ZIP o RAR que incluye una carga útil DLL maliciosa que se inicia mediante la carga lateral de DLL. La carga útil es una puerta trasera desarrollada activamente llamada GOVERSHELL. Vale la pena señalar que la actividad se superpone con un grupo rastreado por Proofpoint bajo el nombre UNK_DropPitchy Volexity caracteriza a GOVERSHELL como un sucesor de una familia de malware C++ denominada SaludKick.
Hasta la fecha se han identificado hasta cinco variantes distintas de GOVERSHELL:
- SaludKick (Observado por primera vez en abril de 2025), que está equipado para ejecutar comandos usando cmd.exe
- TE32 (Observado por primera vez en junio de 2025), que está equipado para ejecutar comandos directamente a través de un shell inverso de PowerShell.
- TE64 (Observado por primera vez a principios de julio de 2025), que está equipado para ejecutar comandos nativos y dinámicos usando PowerShell para obtener información del sistema, la hora actual del sistema, ejecutar comandos a través de powershell.exe y sondear un servidor externo para obtener nuevas instrucciones.
- WebSocket (Observado por primera vez a mediados de julio de 2025), que está equipado para ejecutar un comando de PowerShell a través de powershell.exe y un subcomando de «actualización» no implementado como parte del comando del sistema.
- Faro (observado por primera vez en septiembre de 2025), que está equipado para ejecutar comandos nativos y dinámicos usando PowerShell para establecer un intervalo de sondeo base, aleatorizarlo o ejecutar un comando de PowerShell a través de powershell.exe
Algunos de los servicios legítimos de los que se abusa para almacenar archivos incluyen Netlify, Sync y OneDrive, mientras que los mensajes de correo electrónico se han identificado como enviados desde Proton Mail, Microsoft Outlook y Gmail.
Un aspecto digno de mención del oficio de UTA0388 es el uso de OpenAI ChatGPT para generar contenido para campañas de phishing en inglés, chino y japonés; ayudar con flujos de trabajo maliciosos; y buscar información relacionada con la instalación de herramientas de código abierto como nuclei y fscan, como reveló por la empresa de IA a principios de esta semana. Desde entonces, las cuentas ChatGPT utilizadas por el actor de amenazas han sido prohibidas.
El uso de un modelo de lenguaje grande (LLM) para aumentar sus operaciones se evidencia en las mentiras que prevalecen en los correos electrónicos de phishing, que van desde las personas utilizadas para enviar el mensaje hasta la falta general de coherencia en el contenido del mensaje en sí, dijo Volexity.
«El perfil de objetivo de la campaña es consistente con un actor de amenazas interesado en cuestiones geopolíticas asiáticas, con un enfoque especial en Taiwán», añadió la compañía. «Los correos electrónicos y archivos utilizados en esta campaña llevan a Volexity a evaluar con confianza media que UTA0388 hizo uso de automatización, LLM o de otro tipo, que generó y envió este contenido a objetivos con poca o ninguna supervisión humana en algunos casos».
La divulgación se produce cuando StrikeReady Labs dicho una campaña de ciberespionaje presuntamente vinculada a China se ha dirigido a un departamento del gobierno serbio relacionado con la aviación, así como a otras instituciones europeas en Hungría, Bélgica, Italia y los Países Bajos.
La campaña, observada a finales de septiembre, implica el envío de correos electrónicos de phishing que contienen un enlace que, al hacer clic, dirige a la víctima a una página de verificación CAPTCHA falsa de Cloudflare que conduce a la descarga de un archivo ZIP, dentro del cual existe un archivo de acceso directo de Windows (LNK) que ejecuta PowerShell responsable de abrir un documento señuelo y ejecutarlo sigilosamente. EnchufeX usando Carga lateral de DLL.
Fuente