Un sofisticado grupo APT denominado “NightEagle” (APT-Q-95) ha llevado a cabo ataques específicos contra los sectores de tecnología crítica de China desde 2023.
El grupo ha demostrado capacidades excepcionales para explotar vulnerabilidades de intercambio desconocidas y desplegar malware adaptativo para robar inteligencia sensible de compañías de alta tecnología, fabricantes de semiconductores de chips, firmas de tecnología cuántica, desarrolladores de inteligencia artificial y organizaciones de la industria militar.
Control de llave
1. NightEagle (APT-Q-95) utiliza vulnerabilidades de intercambio desconocidas para robar credenciales de la ametralladora e implementar malware residente de memoria que evade la detección.
2. Opera con fondos sustanciales, utilizando dominios de ataque dedicados por objetivo que se resuelven con IP locales (127.0.0.1) cuando está inactivo.
3. Apunta a los sectores de alta tecnología de China (IA, cuántica, semiconductores, militares) desde 2023, robando correos electrónicos durante casi un año.
4. Se corrigió 9 pm-6 am El horario de Beijing sugiere el origen de la zona horaria occidental con la orientación motivada geopolíticamente.
Marco avanzado de explotación de 0 días
Según Qian Pangu, Nighteagle opera con un arsenal completo de armas de explotación de explotación de vulnerabilidad de intercambio desconocido, dirigidos a compañías de alta tecnología, fabricantes de semiconductores de chips, empresas de tecnología cuántica, desarrolladores de inteligencia artificial y entidades de la industria militar.
La metodología de ataque del grupo se centra en explotar vulnerabilidades de día cero no reveladas para obtener la ametralladora de los servidores de intercambio, lo que permite operaciones de deserialización que permiten la implantación de malware en las versiones de intercambio coincidente.
La secuencia de ataque comienza con el despliegue de un malware de la familia de cinceles personalizado compilado en el idioma GO, ejecutado a través del comando:
Esto establece conexiones de calcetines a través del puerto 443 a la infraestructura de comando y control, utilizando parámetros de autenticación codificados para la persistencia.
Ataque basado en la memoria sin filtro
El arma más sofisticada del grupo involucra malware basado en la memoria que opera completamente en RAM sin persistencia en el disco, evadiendo la detección tradicional de antivirus.
El mecanismo de ataque utiliza un cargador DLL precompilado ASP.NET designado como APP_WEB_CN*.dll, que crea directorios de URL virtual en formatos como ~/auth/lang/cn*.aspx y ~/auth/lang/zh.aspx dentro de los servicios IIS IIS de intercambio.
Al recibir solicitudes a estos directorios virtuales, el malware de memoria busca el ensamblaje “APP_WEB_CONTAINER_1”, localizando la clase de funciones maliciosas “APP_WEB_8C9B251FB5B3” y ejecutando la función principal de “AppWebinit”.
Esta sofisticada técnica de inyección permite a los atacantes mantener el acceso persistente mientras evita la detección forense basada en disco.
Proceso de ataque del grupo NightEagle
El grupo demuestra una seguridad operativa excepcional mediante el uso de dominios de ataque dedicados para cada objetivo, incluidos los COI como SynologyUpdates.com, Comfyupdate.org, Coremailtech.com y Fastapi-CDN.com.
Los registros de dominio utilizan constantemente Tucows como registrador, con la resolución DNS que apunta a la infraestructura alojada por DigitalOcean, Akamai y los constantes operadores de la compañía durante las campañas activas.
Patrones de ataque de NightEagle revelar Un actor de amenaza altamente organizado que opera en un cronograma constante de 9 pm a 6 am tiempo de Beijing, lo que indica operaciones de la zona horaria occidental occidental, probablemente América del Norte.
La estrategia de orientación del grupo se adapta a los eventos geopolíticos y se ha centrado cada vez más en la industria de modelos grandes de IA de China, explotando vulnerabilidades en sistemas que utilizan herramientas como Comfyui para aplicaciones de IA.
El análisis revela que NightEagle ha exfiltrado con éxito datos de correo electrónico confidenciales de organizaciones específicas durante casi un año, lo que demuestra la capacidad del grupo para operaciones sostenidas de recopilación de inteligencia.
Los sustanciales recursos financieros del actor de amenaza permiten la adquisición de una amplia infraestructura de red, incluidos numerosos servidores VPS y nombres de dominio para cada campaña.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
