Durante el año pasado, un grupo de amenazas chino previamente silencioso ha aumentado a los paneles de respuesta de incidentes en todo el mundo, girando de éxitos de un solo día cero a una cartera industrializada de vulnerabilidades armadas.
Los dispositivos FortInet SSL-VPN de fortaleza no ecológicos a fines de 2014, el grupo, denominado “araña Goujian” por manejadores de incidentes, ahora combina una rápida adquisición de vulnerabilidad con hábil automatización posterior a la explotación, contratistas de defensa de incumplimiento, diseñadores de chips y firma marítima de logistics en noles.
Cada intrusión comienza con un defecto recién cosechado, que generalmente aparece en la base de datos de vulnerabilidad nacional interna de China (NVDB) semanas antes de que se asigne un número de CVE público, lo que le da a los operadores una ventaja decisiva.
El acceso inicial es seguido por el despliegue tranquilo de un cargador encriptado que desenvuelve un implante Golang a medida apodado “Redsam” por su cadena de comando codificada, RED_SAM_INITIATIA ().
Analistas de archivo anotado El malware después de correlacionar el tráfico de un Shanghai en cuanto a las revelaciones simultáneas de NVDB el 11 de febrero de 2025, marcando la campaña como la primera prueba de campo de que las regulaciones de China 2021 sobre la gestión de las vulnerabilidades de seguridad de productos de red (RMSV) se habían convertido en una cadena de suministro ofensiva completa.
Los investigadores identificaron que la araña goujiana recorrió tres exploits distintos en solo cuarenta y ocho horas, una para Ivanti Connect Secure, una para la confluencia de Atlassian y otra para una puerta de enlace de Nicho Opc Ua, sugiriendo un acceso privilegiado a los alimentos de vulnerabilidad antes de los parches.
El impacto es significativo: los respondedores de incidentes rastrean al menos sesenta y anfitriones exfiltrando archivos de diseño, telemetría satelital y cookies de inicio de sesión único de los empleados.
Los plazos forenses post mortem muestran que RedSam se ejecuta solo después de que las vulnerabilidades fueron reconocidas públicamente, lo que indica una puesta en marcha deliberada para enmascarar el punto de apoyo inicial y la atribución frustrada.
Dentro del mecanismo de infección
La cadena de infección de Goujian Spider comprime el reconocimiento, la explotación y la persistencia en menos de 400 líneas de código.
Flujo de ataque (Fuente – Archivo)
Una vez que el componente web vulnerable se sondea con una solicitud elaborada, un cargador solo de memoria llamado “LilacDrop” se transmite a través de HTTP fragmentado y se ejecuta a través de la carga de DLL reflectante.
El siguiente fragmento GO (deshuesado por los equipos de inversión) revela cómo Lilacdrop inyecta RedSam en spoolsv.exe, evitando los ganchos EDR comunes:—-
Func ElevateAndsPawn (ShellCode () Byte) Error {hproc, _: = windows.openprocess (windows.process_all_access, false, pidbyname (“spoolsv.exe”)) remoteaddr, _: = windows.virtualallocex (hproc, 0, uintptr (len (shellcode)), Windows.MemeMeT, windows.PAGE_EXECUTE_READWRITE) var written uintptr windows.WriteProcessMemory(hProc, remoteAddr, &shellcode(0), uintptr(len(shellcode)), &written) thd, _, _ := procCreateRemoteThread.Call(uintptr(hProc), 0, 0, remoteAddr, 0, 0, 0) Windows.WaitForSingleObject (Windows.handle (THD), Windows.infinite) return nil}
El fragmento resalta tres opciones tácticas:-
PROCESO SCRIVE SOBRE CREACIÓN DEL SERVICIO: secuestro de spoolsv.exe evita nuevos servicios que los defensores a menudo auditen. Ejecución de solo memoria: ninguna carga útil toca el disco, frustrando escáneres basados en la firma. Finalización de un solo hilo: el código espera a que termine el hilo inyectado antes de limpiar, borrando los forenses.
Para permanecer residente, Redsam crea una tarea oculta programada llamada “Windows LSM Cache” que se ejecuta cada 15 minutos, pero solo si la entrada NVDB para su CVE inicial recibe una etiqueta pública de prueba de concepto, lo que el implante se reactiva cuando los defensores están más ocupados.
La evasión de detección se extiende a la poda de registro: una rutina incorporada busca el ID de evento de Windows Windows 4104 (PowerShell), 4688 (creación de procesos) y 1102 (registrado de auditoría) y elimina selectivamente líneas que contienen su Mutex Global \ rs_mutex.
Un mapa conceptual completo de las bases de datos de vulnerabilidades gubernamentales de China (Fuente – Archivo)
Esto asigna cada etapa, desde la exploit hasta la exfiltración, superando los mutexes observados y los URI de comando y control extraídos durante una violación de un fabuloso fabuloso de semiconductores taiwaneses.
Mientras que la línea de tiempo de la liberación de NVDB vs. CVE muestra la ventaja promedio de once días del grupo entre la divulgación nacional y la asignación pública de CVE.
A pesar de la sofisticación de Goujian Spider, los defensores pueden buscar una salida de red anormal a rutas codificadas /públicas /de carga en TCP 443 y monitorear las tareas programadas para descripciones que no son de Microsoft.
La adopción rápida del parche sigue siendo primordial: en el caso FAB, una hotfix del proveedor oportuna habría neutralizado el exploit Ivanti tres días antes del arma.
A medida que se acelera la recolección de vulnerabilidad impulsada por RMSV, las organizaciones deben tratar cada lista de NVDB, pública o filtrada, como una ventana de amenaza inminente, acortando los ciclos internos de parches en consecuencia.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
