Ha surgido una sofisticada campaña de espionaje dirigida a múltiples jurisdicciones asiáticas, utilizando archivos de acceso directo armado y técnicas engañosas de ingeniería social para infiltrarse en objetivos de alto valor en China, Hong Kong y Pakistán.
El actor de amenaza, designado UNG0002 (grupo desconocido 0002), ha demostrado una notable persistencia y evolución técnica en dos principales fases operativas que abarcan desde mayo de 2024 hasta el presente.
La campaña maliciosa emplea una cadena de infecciones de varias etapas que comienza con archivos LNK armados integrados dentro de documentos de señuelo con temática de CV, progresando a través de la ejecución de VBScript, el procesamiento por lotes y culminando en la implementación de la carga útil basada en PowerShell.
Este enfoque sofisticado permite a los actores de amenaza omitir las medidas de seguridad tradicionales al tiempo que mantienen un perfil de detección bajo durante todo el proceso de infección.
Analistas de Seqrite identificado Que UNG0002 ha evolucionado significativamente sus tácticas durante la Operación Ambermist, su campaña más reciente se extiende desde enero de 2025 hasta mayo de 2025.
El grupo de amenazas ha ampliado su objetivo más allá de los sectores tradicionales de defensa y aviación civil para incluir compañías de juego, empresas de desarrollo de software e instituciones académicas, lo que indica un mandato de recolección de inteligencia más amplio.
Cadena de ataque (fuente – SeqRite)
La innovación más notable de la campaña implica el abuso de la técnica ClickFix, un método de ingeniería social que presenta a las víctimas con páginas de verificación Captcha falsas diseñadas para engañarlos para que ejecute guiones de PowerShell Maliciosos.
Los investigadores de seguridad han observado casos en los que los actores de amenaza falsificaron específicamente el sitio web del Ministerio de Asuntos Marítimos de Pakistán para mejorar la legitimidad de sus páginas engañosas.
Mecanismo de infección avanzado y tácticas de persistencia
El mecanismo de infección demuestra una sofisticación notable a través de su enfoque de múltiples capas para el compromiso del sistema.
El ataque comienza cuando las víctimas reciben archivos zip con temática de CV que contienen archivos LNK maliciosos disfrazados de documentos PDF legítimos. Tras la ejecución, estos archivos de acceso directo inician una cadena compleja que involucra la interpretación de VBScript, el procesamiento de script por lotes y la ejecución de PowerShell.
Infraestructura persistente (fuente – SeqRite)
El análisis técnico revela que UNG0002 emplea técnicas DLL Sidelading, particularmente dirigidas a aplicaciones legítimas de Windows, como Rasphone.exe y Node-Webkit binarios.
El malware aprovecha estos procesos de confianza para ejecutar cargas útiles maliciosas mientras evade mecanismos de detección.
Las rutas de la base de datos del programa (PDB) descubiertas durante el análisis indican nombres de código internos “mustang” y “shockwave”, lo que sugiere prácticas de desarrollo organizadas con c: \ users \ the freeLancer \ source \ repos \ jan25 \ mustang \ x64 \ libe \ mustang.pdb y c: \ users \ shockwave \ source \ repos \ membom respectivamente.
La infraestructura persistente mantiene operaciones consistentes de comando y control, implementando implantes personalizados, incluidos los cargadores de DLL de rata Shadow Rat, INET y Blister.
Estas herramientas proporcionan acceso integral al sistema, permitiendo la exfiltración de datos, la ejecución de comandos remotos y las capacidades de movimiento lateral en redes comprometidas, estableciendo UNG0002 como una amenaza formidable para la ciberseguridad regional.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
