30 de marzo de 2026

Campañas de Ciberespionaje Chinas Apuntan a Gobierno del Sudeste Asiático en 2025

Campañas de Ciberespionaje Chinas Apuntan a Gobierno del Sudeste Asiático en 2025

Un grupo de ciberespías vinculados a China ha estado atacando a una organización gubernamental en el sudeste asiático durante el año 2025. Los ataques, descubiertos por investigadores de Palo Alto Networks Unit 42, son descritos como una "operación compleja y bien financiada" que busca obtener acceso persistente a redes sensibles del gobierno.

Malware Utilizado en los Ataques

Los atacantes emplearon diversas familias de *malware* (programas dañinos) en sus campañas. Entre ellos se encuentran:

  • HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch): Un *malware* que se propaga a través de dispositivos USB.
  • PUBLOAD: Un tipo de *backdoor* (puerta trasera), que permite a los atacantes acceder al sistema de forma remota.
  • EggStremeFuel (RawCookie) y EggStremeLoader (Gorem RAT): Componentes de un *framework* (conjunto de herramientas) de *malware* que facilitan el robo de datos.
  • MASOL RAT: Un *RAT* (troyano de acceso remoto) que permite el control del equipo infectado.
  • TrackBak Stealer: Un *stealer* (ladrón de información) que recolecta datos sensibles del sistema.
  • Hypnosis Loader: Un cargador de *DLL* (biblioteca de enlace dinámico) que se utiliza para instalar el *RAT* FluffyGh0st.

Grupos de Amenaza Identificados

La actividad se atribuye a tres grupos distintos, que muestran solapamiento con campañas previamente documentadas y atribuidas a China:

  • Mustang Panda (Stately Taurus): Activo entre junio y agosto de 2025, utilizando HIUPAN para distribuir PUBLOAD.
  • CL-STA-1048 (Earth Estries o Crimson Palace): Activo entre marzo y septiembre de 2025, empleando *malware* como EggStremeFuel, EggStremeLoader y MASOL RAT.
  • CL-STA-1049 (Unfading Sea Haze): Activo en abril y agosto de 2025, utilizando Hypnosis Loader para instalar FluffyGh0st RAT.

Implicaciones y Recomendaciones

Este ataque demuestra la persistencia y sofisticación de los grupos de ciberespionaje vinculados a China. Su objetivo es obtener acceso a largo plazo a información sensible de gobiernos. Para las organizaciones, esto subraya la necesidad de:

  • Implementar medidas de seguridad robustas.
  • Monitorear continuamente sus redes en busca de actividades sospechosas.
  • Educar a sus empleados sobre los riesgos de *malware* propagado a través de USB y otras técnicas de ingeniería social.
Fuente: https://blogs.jpcert.or.jp/en/2026/02/jsac2026day1.html#:~:text=Attribution%20in%20Action%3A%20A%20Case%20Study%20of%20an%20Incident%20Involving%20Multiple%20Activity%20Clusters
Siguiente → Hackers vinculados a Irán atacan el corr...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Hackers vinculados a Irán atacan el correo del director del FBI y borran datos de Stryker
Grupo ruso usa exploit DarkSword para atacar iPhones: ¿están en riesgo tus datos?
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio