APT chino UNC5174 ataca con malware SNOWLIGHT

El grupo de amenazas persistentes avanzadas (APT) UNC5174, vinculado al gobierno chino, ha sido vinculado a una nueva campaña de ciberespionaje que emplea una variante del malware SNOWLIGHT y una herramienta de código abierto conocida como VShell para comprometer principalmente sistemas Linux, aunque también se ha detectado actividad contra dispositivos macOS.

Herramientas utilizadas: SNOWLIGHT, VShell y GOREVERSE

Según un informe de la empresa de ciberseguridad Sysdig, los actores de amenazas utilizan cada vez más herramientas de código abierto para reducir costos y dificultar la atribución. Este enfoque permite simular ataques de grupos menos sofisticados, lo que complica la detección por parte de analistas de seguridad.

UNC5174, también conocido como Uteus (o Uetus), fue previamente analizado por Mandiant (propiedad de Google) por su explotación de vulnerabilidades en herramientas como Connectwise ScreenConnect y F5 BIG-IP. En estas campañas se empleó el descargador ELF SNOWLIGHT, diseñado para desplegar el túnel Golang llamado GOHEAVY, conectado a la infraestructura C2 basada en SUPERSHELL, un marco de comando y control de uso público.

Además, los ataques utilizaron GOREVERSE, una backdoor SSH escrita en Golang, que permite la conexión remota inversa a sistemas comprometidos.

Explotación de vulnerabilidades y entrega del malware

La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) destacó en su informe "Cyber Threat Overview 2024" que UNC5174 o un actor similar ha explotado múltiples vulnerabilidades en dispositivos Ivanti Cloud Service Appliance (CSA), incluyendo:

• CVE-2024-8963
• CVE-2024-9380
• CVE-2024-8190

Estos fallos permitieron la ejecución remota de código y el control total de los sistemas afectados.

En los ataques recientes documentados por Sysdig (enero de 2025), SNOWLIGHT actúa como un gotero que despliega VShell, un troyano de acceso remoto (RAT) ampliamente usado en entornos de habla china. El malware se ejecuta en memoria, sin archivos persistentes, dificultando su detección.

Detalles técnicos: carga útil y persistencia

La secuencia de ataque inicia con la ejecución de un script Bash malicioso ("download_backd.sh"), que instala los binarios de SNOWLIGHT (dnsloger) y Sliver (system_worker). Estos componentes establecen persistencia y conectividad con un servidor de comando y control (C2).

La fase final consiste en la entrega de VShell a través de SNOWLIGHT, usando solicitudes específicamente diseñadas. Una vez desplegado, VShell permite ejecución remota de comandos, carga y descarga de archivos, y control total del sistema comprometido. Se destaca el uso de WebSockets para el tráfico C2, una técnica evasiva que refuerza el sigilo del ataque.

Campañas paralelas y alcance global

Los hallazgos de Sysdig coinciden con nuevas investigaciones de TeamT5, que vinculan a otro grupo de ciberespionaje con nexos chinos con la explotación de vulnerabilidades recientes en Ivanti, incluyendo:

• CVE-2025-0282
• CVE-2025-22457

El malware desplegado en esta campaña fue denominado SPAWNCHIMERA, y afectó a múltiples sectores en al menos 20 países, entre ellos: Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Riesgos para organizaciones y geopolítica cibernética

Tanto SNOWLIGHT como VShell son también capaces de infectar sistemas macOS, como lo demuestra el análisis de archivos subidos a VirusTotal desde China en octubre de 2024, donde se detectó la distribución de VShell como una aplicación falsa de autenticación de Cloudflare.

En paralelo, China ha acusado públicamente a la NSA (Agencia de Seguridad Nacional de EE. UU.) de realizar ataques cibernéticos avanzados contra infraestructuras críticas durante los Juegos Asiáticos de Invierno de 2025. Según el Ministerio de Relaciones Exteriores chino, estas acciones comprometieron información personal, defensa nacional y sectores clave como finanzas y telecomunicaciones.

SNOWLIGHT y VShell aumentan el riesgo de ciberataques a nivel global

La campaña atribuida a UNC5174 demuestra el creciente uso de herramientas de código abierto en operaciones de ciberespionaje, así como la explotación activa de vulnerabilidades en infraestructura crítica. Organizaciones que operan en entornos Linux y macOS deben reforzar sus medidas de detección, aplicar parches de seguridad y monitorear comportamientos anómalos relacionados con SNOWLIGHT, VShell o tráfico WebSocket inusual.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta