Ciberespionaje chino: campaña SHADOW-EARTH-053 ataca gobiernos y defensa

La evolución del ciberespionaje patrocinado por Estados continúa intensificándose, y una reciente investigación ha puesto al descubierto una sofisticada campaña alineada con intereses estratégicos de China. Expertos en ciberseguridad han revelado una operación dirigida a entidades gubernamentales y del sector defensa en Asia —incluyendo el sur, este y sudeste asiático—, así como a un país europeo miembro de la OTAN. Esta actividad demuestra el creciente nivel de sofisticación técnica y coordinación en las amenazas persistentes avanzadas (APT).

SHADOW-EARTH-053: una amenaza persistente en expansión

La investigación, liderada por Trend Micro, atribuye esta campaña a un clúster de amenazas identificado como SHADOW-EARTH-053, activo al menos desde diciembre de 2024. Este grupo presenta solapamientos operativos con otras amenazas previamente documentadas como CL-STA-0049, Earth Alux y REF7707, lo que sugiere una posible infraestructura compartida o vínculos indirectos entre actores.

Los investigadores Daniel Lunghi y Lucas Silva detallan que el grupo explota vulnerabilidades conocidas (N-day) en servicios críticos como Microsoft Exchange e Internet Information Services. Entre las técnicas utilizadas destaca la explotación de la cadena de vulnerabilidades conocida como ProxyLogon, ampliamente utilizada en campañas APT en los últimos años.

Cadena de ataque: explotación, persistencia y control total

El vector inicial de intrusión se basa en la explotación de sistemas expuestos a internet que no han sido parcheados. Una vez dentro, los atacantes despliegan web shells como Godzilla, herramientas que permiten ejecutar comandos de forma remota y mantener acceso persistente sin levantar sospechas.

Posteriormente, los actores avanzan hacia la implantación de malware más sofisticado como ShadowPad, una backdoor ampliamente utilizada en operaciones de ciberespionaje vinculadas a China. Este implante se introduce mediante técnicas de carga lateral de DLL, aprovechando ejecutables legítimos firmados para evadir soluciones de seguridad.

Además, se ha documentado el uso de herramientas de acceso remoto como AnyDesk para facilitar el control de los sistemas comprometidos.

Expansión geográfica y objetivos estratégicos

Los países afectados incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. En Europa, el único país identificado es Polonia, lo que subraya el interés en objetivos estratégicos dentro de la OTAN.

Trend Micro también identificó una superposición significativa con otro clúster denominado SHADOW-EARTH-054, especialmente en países como Malasia, Sri Lanka y Myanmar, aunque sin evidencia concluyente de coordinación directa.

Herramientas ofensivas y técnicas avanzadas

El arsenal técnico de SHADOW-EARTH-053 incluye múltiples herramientas diseñadas para evasión, movimiento lateral y escalada de privilegios:

• Mimikatz para robo de credenciales
• Sharp-SMBExec para ejecución remota mediante SMB
• Lanzadores personalizados de Remote Desktop Protocol
• Herramientas de tunelización como IOX, GOST y Wstunnel
• RingQ para empaquetado y evasión

En un caso destacado, los atacantes explotaron la vulnerabilidad React2Shell (CVE-2025-55182), facilitando la distribución de Noodle RAT (también conocido como ANGRYREBEL). Esta actividad fue previamente vinculada por el Google Threat Intelligence Group al grupo UNC6595.

Recomendaciones críticas de seguridad

Trend Micro enfatiza que el principal vector de entrada sigue siendo la explotación de vulnerabilidades en aplicaciones web expuestas, especialmente en entornos IIS. Por ello, recomienda:

• Aplicar parches de seguridad de forma inmediata
• Implementar soluciones IPS y WAF con reglas específicas
• Monitorizar गतिविधades sospechosas en servidores críticos
• Restringir accesos remotos innecesarios

En escenarios donde el parcheo inmediato no sea viable, el uso de "parcheo virtual" mediante WAF puede mitigar significativamente el riesgo.

GLITTER CARP y SEQUIN CARP: espionaje dirigido a periodistas y activistas

En paralelo, el laboratorio de investigación Citizen Lab ha revelado campañas de phishing dirigidas a periodistas, activistas y organizaciones de la sociedad civil. Estas operaciones, atribuidas a actores afiliados a China, han sido denominadas GLITTER CARP y SEQUIN CARP.

GLITTER CARP ha atacado al Consorcio Internacional de Periodistas de Investigación, mientras que SEQUIN CARP ha centrado sus esfuerzos en periodistas como Scilla Alecci.

Tácticas de phishing e ingeniería social

Estas campañas utilizan sofisticadas técnicas de suplantación digital, incluyendo:

• Correos electrónicos que imitan a contactos conocidos
• Alertas falsas de seguridad tecnológica
• Páginas de phishing para robar credenciales
• Solicitudes de acceso mediante tokens OAuth

Además, GLITTER CARP emplea píxeles de seguimiento 1x1 para confirmar la apertura de correos y recolectar información del dispositivo de la víctima.

Infraestructura compartida y solapamiento de actores

Citizen Lab identificó el uso simultáneo de kits de phishing como AITT y la entrega de malware HealthKick, lo que sugiere una infraestructura compartida entre múltiples grupos. También se han observado vínculos con campañas previamente documentadas por Proofpoint bajo los nombres UNK_SparkyCarp y UNK_DualTone.

Estas operaciones han afectado a sectores académicos, legales, políticos y tecnológicos en regiones como Estados Unidos, Europa y Taiwán.

Implicaciones geopolíticas y ciberseguridad global

El análisis conjunto de estas campañas revela una tendencia preocupante: la consolidación de redes distribuidas de actores que operan en nombre de intereses estatales. La amplitud de los objetivos —desde gobiernos hasta periodistas— refleja prioridades estratégicas alineadas con inteligencia nacional.

Citizen Lab concluye que existe una probabilidad moderada de que estas actividades estén siendo ejecutadas por contratistas comerciales al servicio del Estado chino, una práctica cada vez más común en operaciones de ciberespionaje.

En fin...

Las campañas SHADOW-EARTH-053, GLITTER CARP y SEQUIN CARP representan una nueva generación de amenazas híbridas que combinan explotación técnica avanzada con ingeniería social altamente dirigida. El uso de vulnerabilidades conocidas, herramientas legítimas y técnicas de evasión sofisticadas demuestra que los actores estatales continúan refinando sus capacidades ofensivas.

Para las organizaciones, la clave está en adoptar una postura de seguridad proactiva, basada en inteligencia de amenazas, parcheo continuo y monitoreo avanzado. En un entorno donde el ciberespionaje es cada vez más frecuente, la resiliencia digital se convierte en un pilar estratégico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login