Un equipo de investigación de amenazas ha documentado una operación de ciberespionaje dirigida contra organizaciones militares del sudeste asiático que, según las evidencias, se remonta al menos a 2020. Los analistas que firman el informe de Unit 42 de Palo Alto Networks agrupan esta actividad como CL-STA-1087: una familia de intrusiones con indicios de patrocinio estatal y un patrón consistente de recopilación selectiva de inteligencia.
Lo que distingue a esta campaña no es la masa de datos robados, sino la precisión con la que los atacantes buscaron documentos concretos —informes sobre capacidades operativas, estructuras organizativas y registros de colaboraciones con ejércitos occidentales— en lugar de apropiarse de grandes volúmenes de información irrelevante. Esa búsqueda deliberada apunta a fines de inteligencia que podrían alimentar análisis estratégicos y planificación militar.
Desde el punto de vista técnico, la operación muestra rasgos característicos de grupos APT: cargas útiles diseñadas a medida, infraestructuras de mando y control estables, técnicas de evasión de defensas y cadenas de ejecución en varias fases que facilitan acceso persistente y sigiloso a sistemas comprometidos. Entre las herramientas identificadas aparecen los backdoors conocidos como AppleChris y MemFun, y un extractor de credenciales bautizado como Getpass, una variante personalizada de la conocida utilidad Mimikatz (repositorio de Mimikatz).
Una de las señas operativas interesantes es el uso de servicios públicos como repositorios para ocultar la localización real de los servidores de mando y control. Tanto AppleChris como MemFun recuperan direcciones de C2 almacenadas en publicaciones de Pastebin (un “dead drop resolver” según la taxonomía de MITRE), codificadas en Base64; una variante incluso utiliza Dropbox como fuente principal y Pastebin solo como respaldo. Esas publicaciones rastreables datan de septiembre de 2020, lo que ayuda a caracterizar la longevidad de la operación.
El modo de introducción de la persistencia incluye técnicas conocidas pero todavía eficaces para eludir controles: AppleChris puede activarse mediante DLL hijacking, y ofrece funcionalidades como exploración de discos, listado de directorios, transferencia de archivos, ejecución remota de comandos y creación silenciosa de procesos. La evolución de los túneles muestra a su vez una mayor sofisticación en el manejo de proxys de red y en la obtención de las direcciones de C2.
MemFun se comporta más como una plataforma modular: su ejecución se realiza a través de una cadena de etapas donde un loader inicial inyecta shellcode que descarga en memoria un componente que, a su vez, obtiene la configuración desde Pastebin y recupera una DLL desde el servidor de mando. Al traer la DLL en tiempo de ejecución, los operadores pueden intercambiar cargas útiles sin tocar los artefactos desplegados inicialmente, lo que facilita modificaciones y actualizaciones furtivas.
Para evitar ser detectados por entornos de análisis automatizados, algunas variantes implementan retardos en la ejecución. Instrumentan temporizadores de sueño para sobrepasar las ventanas de observación típicas de los sandboxes; además, MemFun realiza comprobaciones anti-forense antes de alterar marcas de tiempo y emplea process hollowing para ejecutar el payload bajo el contexto de procesos legítimos como dllhost.exe, reduciendo así la huella en disco y complicando la atribución forense.
La extracción de credenciales merece una nota aparte: Getpass opera sobre la memoria de lsass.exe para intentar obtener contraseñas en texto claro, hashes NTLM y otros materiales de autenticación, replicando tácticas clásicas de movimientos laterales y elevación de privilegios. Esa capacidad convierte a los atacantes en una amenaza aún mayor para redes con escasa segmentación o configuraciones débiles de control de acceso.
¿Qué implica todo esto para organizaciones militares y entidades conectadas a operaciones de defensa? En primer lugar, la campaña demuestra que los atacantes son selectivos y pacientes: mantienen accesos latentes durante largos periodos, priorizan la recolección dirigida y aplican medidas de seguridad operacional para prolongar su permanencia. En segundo lugar, el uso combinado de herramientas modulares, servicios públicos como repositorios temporales y técnicas de evasión hace que la defensa requiera más que simples firmas de antivirus.
Desde el punto de vista práctico, detecciones tempranas pueden apoyarse en el seguimiento de ejecuciones sospechosas de PowerShell, en la monitorización de procesos que leen lsass.exe y en la identificación de conexiones a servicios de paste o almacenamiento que no encajen con el patrón de uso legítimo. Microsoft ofrece mecanismos de protección del entorno de credenciales y recomendaciones para mitigar el robo en memoria; por ejemplo, funciones como Credential Guard ayudan a reducir el riesgo de extracción directa desde lsass (documentación de Microsoft).
También es recomendable aplicar controles de higiene básicos pero efectivos: segmentación de red, políticas de privilegios mínimos, registro y análisis continuo del comportamiento de procesos y de conexiones salientes, y la integración de capacidades EDR que puedan detectar inyección en memoria, process hollowing y patrones anómalos de uso de DLLs. Para entender las técnicas concretas empleadas por los atacantes conviene revisar las técnicas mapeadas por MITRE, que detallan vectores como la obtención de C2 via servicios públicos y las técnicas de hijacking y hollowing ya mencionadas (Pastebin, DLL hijacking, process hollowing).
La atribución a un actor con base en China se mantiene en el terreno de la sospecha informada: los indicadores técnicos y los objetivos coinciden con campañas previas asociadas a operadores estatales, pero la comunidad de seguridad acostumbra a ser cautelosa en materia de atribución completa sin corroboración adicional. Lo que sí es indiscutible es la naturaleza estratégica del objetivo: sistemas de mando y control, estructuras organizativas y registros de cooperación militar son exactamente los tipos de datos que interesan a servicios de inteligencia.
En definitiva, estamos ante una operación que combina paciencia, precisión y técnicas actuales de evasión. Para defensores y responsables de seguridad en sectores sensibles, la lección es clara: la resiliencia pasa por monitoreo continuo, detección basada en comportamiento y medidas de protección de credenciales y procesos. Quienes gestionan infraestructura crítica deben asumir que los atacantes entrenados y financiados por estados operan con un horizonte de tiempo largo y con criterios de selección de objetivos muy concretos, y preparar sus defensas en consecuencia.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...