Ciberespionaje: Hackers vinculados a China utilizan el nuevo framework "PeckBirdy" para atacar gobiernos y empresas

Investigadores de ciberseguridad han detectado un sofisticado framework de comando y control (C2) basado en JavaScript, denominado PeckBirdy, que ha sido utilizado por grupos de amenazas persistentes avanzadas (APT) alineados con los intereses de China desde al menos 2023.

El descubrimiento, detallado por la firma Trend Micro, revela una herramienta altamente flexible diseñada para la entrega remota y ejecución de malware, afectando principalmente a entidades gubernamentales en Asia, organizaciones privadas y la industria del juego en China.

PeckBirdy: Un framework versátil y modular

A diferencia de los ataques tradicionales que dependen de archivos ejecutables pesados desde el inicio, PeckBirdy utiliza scripts de JScript para facilitar su despliegue. Esta arquitectura le permite ser extremadamente sigiloso y difícil de detectar para las soluciones de seguridad convencionales.

Según el informe, el framework ha sido observado en diversas modalidades de ataque:

• Inyección en sitios gubernamentales: En un caso crítico, los atacantes lograron inyectar scripts maliciosos en la página de inicio de sesión de un sistema gubernamental.

• Movimiento lateral: En organizaciones privadas, se detectó el uso de la herramienta legítima de Windows MSHTA para ejecutar PeckBirdy como un canal de acceso remoto, permitiendo a los hackers desplazarse por la red interna tras la infección inicial.

• Lanzadores personalizados: Los atacantes desarrollaron un ejecutable en .NET diseñado específicamente para lanzar PeckBirdy mediante el control de scripts (ScriptControl), lo que demuestra la madurez técnica del grupo.

Vínculos con grupos APT conocidos

Los analistas de seguridad han logrado trazar conexiones entre esta infraestructura y actores de amenazas de alto perfil. Se identificaron direcciones IP vinculadas previamente con Earth Baxia y APT41 (también conocido como Winnti), uno de los grupos de ciberespionaje más prolíficos del mundo.

Estas campañas utilizan PeckBirdy para abusar de binarios legítimos del sistema operativo (Living-off-the-Land) y entregar backdoors modulares adicionales conocidos como MKDOOR y HOLODONUT.

Implicaciones estratégicas

El uso de PeckBirdy subraya una tendencia creciente en el ecosistema de amenazas chino: el desarrollo de frameworks de JavaScript dinámicos que permiten una rápida adaptación según el objetivo. Al utilizar scripts que se ejecutan en memoria o a través de aplicaciones de confianza, los atacantes logran mantener una persistencia prolongada en infraestructuras críticas sin levantar sospechas.

Recomendaciones de seguridad: Expertos sugieren a las organizaciones monitorear de cerca el uso inusual de herramientas como mshta.exe y wscript.exe, además de implementar soluciones de detección y respuesta en endpoints (EDR) capaces de analizar el comportamiento de scripts maliciosos en tiempo real.