Una sofisticada campaña de actores de amenaza china se ha convertido en una de las operaciones de distribución de malware más persistentes dirigidas a comunidades de habla china en todo el mundo.
Desde junio de 2023, esta campaña en curso ha establecido una amplia infraestructura que comprende más de 2.800 dominios maliciosos diseñados específicamente para entregar malware dirigido por Windows a individuos y entidades tanto dentro de China como internacionalmente.
Los actores de amenaza operan con una consistencia notable durante el horario comercial chino, empleando un enfoque multifacético que aprovecha los sitios de descarga de aplicaciones falsas, las indicaciones de actualización de software engañosa y las páginas de inicio de sesión falsificadas para servicios populares.
Sus objetivos incluyen usuarios de aplicaciones de marketing, plataformas de ventas comerciales y servicios relacionados con las criptomonedas, lo que demuestra un enfoque claro en las operaciones de robo de cibercrimen y credenciales motivadas financieramente.
El alcance y la persistencia de la campaña han llamado la atención significativa de los investigadores de seguridad.
Analistas de Domaineols identificado Que a partir de junio de 2025, 266 dominios de más de 850 creados desde diciembre de 2024 permanecieron distribuyendo activamente malware, destacando la infraestructura sostenida de la operación y la evolución continua.
Los cambios operativos recientes indican que los actores de amenaza se están adaptando a las medidas defensivas mediante la implementación del código antiautomation, reduciendo la dependencia de los servicios de seguimiento como Baidu y Facebook, y distribuyendo su infraestructura en más servidores para evitar la detección.
Estas modificaciones sugieren una comprensión madura de las contramedidas de ciberseguridad y un compromiso para mantener la efectividad operativa.
Mecanismo de infección en varias etapas
El proceso de entrega de malware demuestra una implementación técnica sofisticada a través de una cadena de infección en varias etapas.
Inicio de sesión de Gmail falso (Fuente – Domaindools)
El análisis del dominio googeyxvot (.) Top revela el uso de los actores de la ofuscación de JavaScript para ocultar las URL de descarga y activar errores de compatibilidad del navegador falso que provocan actualizaciones maliciosas.
Se emplean múltiples archivos JavaScript para ofuscar la URL de descarga (Fuente – Domaintaols)
Cuando los usuarios interactúan con estos sitios engañosos, reciben un archivo zip que contiene un instalador MSI.
El archivo flashcenter_pl_xr_rb_165892.19.zip (sha256: 7705ac81e004546b7dacf47531b830e31d3113e217adeef1f8ddd6ea6f4b8e59b) contiene el svchost.
Este descargador recupera las cargas útiles cifradas de los servidores de comando y control, específicamente de URL como https: //ffsup-s42.oduuu (.) Com/uploads%2F4398%2F2025%2F06%2F617.txt.
La carga útil final emplea el cifrado XOR con la clave 0x25 para decodificar y ejecutar el archivo PE integrado, lo que demuestra la sofisticación técnica de la campaña para evadir la detección mientras mantiene la simplicidad operativa para una implementación generalizada en su extensa infraestructura de dominio.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
