El surgimiento de organizaciones ciberdeliminales sofisticadas continúa planteando amenazas significativas para individuos e instituciones en todo el mundo, con el grupo UTG-Q-1000 que representa uno de los desarrollos más preocupantes en la historia reciente de ciberseguridad.
Esta red penal altamente organizada ha demostrado una destreza técnica excepcional al explotar la política nacional de subsidios de cuidado infantil de China, transformando lo que debería ser un programa de gobierno beneficioso en un vector para el fraude financiero generalizado y el robo de datos.
La organización UTG-Q-1000 opera a través de una sofisticada estructura de niveles múltiples, con divisiones especializadas que incluyen el grupo financiero, el grupo de noticias y sexo, el grupo de diseño y fabricación y el grupo de mercado negro.
El grupo financiero se dirige específicamente al personal financiero y a los gerentes dentro de las empresas e instituciones, empleando campañas de phishing muy engañosas disfrazadas de comunicaciones financieras legítimas, como auditorías fiscales, recibos electrónicos y anuncios de subsidios.
Su metodología de ataque demuestra una notable sofisticación, utilizando mecanismos de carga de múltiples etapas a través de su característico troyano de acceso remoto “Silver Fox” mientras aprovecha los servicios legítimos de la nube como Alibaba Cloud OSS y las notas de la nube de Yodao para alojar cargas útiles maliciosas y evadir los sistemas de detección de seguridad.
Investigadores del Centro de Inteligencia de Amenazas de Qi’anxin identificado Esta elaborada campaña en diciembre de 2024, descubriendo la explotación del grupo de la anticipada política nacional de subsidio de cuidado infantil que ofrece 3.600 yuanes por niño anualmente.
Los ciberdelincuentes establecieron numerosos sitios web de phishing durante la noche, códigos QR maliciosos distribuidos en masa y crearon páginas de solicitud de subsidios convincentes para cosechar información personal de las víctimas, detalles de la tarjeta bancaria y credenciales de autenticación.
La infraestructura de ataque revela una operación basada en la membresía donde a los a los actores de amenazas individuales se les asigna identificadores únicos para rastrear sus tasas de éxito en las campañas de phishing.
El análisis del miembro “YLXUQXMZ” reveló 113 intentos exitosos de phishing, con la organización manteniendo estadísticas de víctimas detalladas en 37 sistemas comprometidos, predominantemente máquinas de Windows 10.
Infraestructura técnica y mecanismos de evasión
El grupo UTG-Q-1000 emplea técnicas de evasión técnica notablemente sofisticadas para evitar los controles de seguridad y mantener la persistencia operativa.
Sus páginas de phishing funcionan como cargadores complejos que crean dinámicamente contenedores iframe para alojar el contenido malicioso real.
Antes de cargar la interfaz de phishing dirigida, el sistema inicia las solicitudes de búsqueda cuidadosamente disfrazadas a los puntos finales disfrazados de recursos de imagen.
El mecanismo de engaño central implica la codificación de Base64 combinada con el cifrado XOR utilizando la clave “SUYOCRETKEY123!@#” Para ocultar URL maliciosas dentro de datos de imágenes aparentemente legítimos.
El código de ataque busca una firma específica (0x21fe) dentro de los archivos de imagen devueltos para ubicar segmentos de datos cifrados, luego realiza el proceso de descifrado para recuperar las URL objetivo e integrarlos sin problemas en la experiencia de navegación de la víctima.
ASYNC Function LoadContent () {var arrayBuffer = await_r.ArrayBuffer (); var bytes = new Uint8Array (ArrayBuffer); para (var i = 0; i
Esta estrategia de ofuscación de múltiples capas evita efectivamente los mecanismos de control de riesgos basados en URL y el escaneo de firma estática empleado por las soluciones de seguridad tradicionales.
La organización mantiene el monitoreo de las víctimas en tiempo real a través de sofisticados mecanismos del corazón, informando el estado en línea cada segundo a los servidores de comando y control en https://bmppc.cn/heartbeat.php mientras rastrea las interacciones de los usuarios para optimizar sus operaciones fraudulentas.
Phishing Interfaz de correo electrónico imitando las comunicaciones oficiales del gobierno (fuente – Qi’anxin)
El grupo UTG-Q-1000 representa un cambio de paradigma en la sofisticación cibercriminal, combinando capacidades técnicas avanzadas con la manipulación psicológica para explotar la confianza pública en los programas de beneficios gubernamentales, demostrando en última instancia la necesidad crítica de una mayor conciencia de ciberseguridad y mecanismos de detección robustos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
