Un informe reciente de Palo Alto Networks Unit 42 ha puesto en evidencia una campaña persistente atribuida a un actor vinculado a China que ha venido apuntando a organizaciones de alto valor en el sur, sudeste y este de Asia. Según los investigadores, los blancos incluyen sectores sensibles como la aviación, la energía, organismos gubernamentales, fuerzas de seguridad, farmacéuticas, empresas tecnológicas y operadores de telecomunicaciones, lo que dibuja el perfil de una operación con claras implicaciones geoestratégicas y de seguridad.
La agrupación, etiquetada por Unit 42 como CL-UNK-1068 —donde “CL” indica “cluster” y “UNK” motivación desconocida— emplea una combinación de herramientas a la medida, utilidades de código abierto modificadas y binarios legítimos del sistema (LOLBINs) para permanecer en los entornos comprometidos. El propio análisis del equipo de investigación describe un conjunto de tácticas que facilitan tanto la persistencia como el sigilo, con evidencia suficiente para que los autores evalúen con confianza moderada a alta que el objetivo principal es el espionaje cibernético. Puedes leer el informe completo de Unit 42 aquí: Unit 42 — CL-UNK-1068.
En cuanto a la tecnología utilizada, los atacantes mezclan web shells conocidos como Godzilla y ANTSWORD con backdoors para Linux como Xnote, además de componentes como Fast Reverse Proxy (FRP) para mantenimiento del acceso. Xnote, en particular, no es nuevo en el ecosistema de amenazas; se ha detectado en la naturaleza desde mediados de la década pasada y ha sido asociado a otras campañas. Para contexto técnico sobre Xnote y su detección temprana, revisa este recurso de análisis: Dr.Web — Xnote, y para ejemplos de campañas multinivel vinculadas a backdoors, consulta el análisis de Trend Micro sobre Earth Berberoka: Trend Micro — Earth Berberoka.
El patrón de intrusión que describen los investigadores comienza con la explotación de servidores web para implantar web shells y desde ahí moverse lateralmente dentro de la red. Una vez dentro, la amenaza busca archivos específicos que puedan contener credenciales o información sensible: ficheros de configuración y binarios asociados a aplicaciones web, historiales y marcadores de navegadores, hojas de cálculo y copias de seguridad de bases de datos MS-SQL (.bak), entre otros. Los atacantes muestran un interés particular por el contenido del directorio web de IIS (c:\inetpub\wwwroot), donde suelen capturar archivos que faciliten la escalada o la recolección de credenciales.
Uno de los detalles más llamativos de la campaña es la técnica de exfiltración sin transferencia directa de archivos: los operadores comprimen con WinRAR los datos de interés, codifican el archivo resultante en Base64 usando el binario del sistema certutil y luego imprimen ese contenido en pantalla con el comando type a través del web shell. Al volcar el archivo codificado como texto en la salida de la shell, evitan subir ficheros desde el servidor comprometido y eluden controles que bloquean transferencias directas, una solución rudimentaria pero efectiva dado el acceso que tenían a la consola remota.
La precisión en el uso de herramientas legítimas también es notable. Los atacantes han abusado de ejecutables de Python («python.exe» y «pythonw.exe») para efectuar técnicas de DLL side-loading y ejecutar DLL maliciosas de forma encubierta; entre las cargas observadas figura FRP para acceso persistente, utilidades como PrintSpoofer y un escáner propio desarrollado en Go llamado ScanPortPlus. Esta mezcla de componentes legítimos y personalizados complica la detección por soluciones tradicionales que basan parte de su estrategia en bloquear ejecutables no conocidos.
En el frente del reconocimiento y mapeo del entorno, el grupo no se limitó a herramientas públicas: desde 2020 hacía uso de una utilidad .NET desarrollada por ellos mismos llamada SuperDump para recolectar información del host. En intrusiones más recientes se observa una transición hacia scripts por lotes que automatizan la catalogación del sistema local —una evolución que apunta a optimizar el reconocimiento previo a las fases de exfiltración o escalada.
La sustracción de credenciales ha sido sistemática y multifacética: técnicas de volcado de memoria con Mimikatz, hooks al subsistema de inicio de sesión mediante herramientas similares a LsaRecorder que interfieren con llamadas como LsaApLogonUserEx2, y extracción de hashes y artefactos desde sistemas Linux con utilidades forenses como DumpItForLinux y el Volatility Framework. Para comprender mejor la interfaz que se abusa en Windows, Microsoft documenta la función LsaApLogonUserEx2 aquí: LsaApLogonUserEx2 — Microsoft Docs.
Además, se han observado herramientas destinadas a recuperar contraseñas almacenadas por utilidades administrativas, como aquellas empleadas por Microsoft SQL Server Management Studio (SSMS). Estas prácticas de recolección de artefactos apuntan a obtener credenciales persistentes que permitan movimientos laterales y acceso a datos sensibles sin necesidad de explotar continuamente nuevas vulnerabilidades.
Unit 42 subraya que la campaña se ha montado sobre una base de recursos de código abierto, malware compartido en la comunidad y scripts sencillos, lo que les ha permitido sostener operaciones encubiertas durante largos periodos y adaptarse según el objetivo y el sistema operativo atacado. La combinación de componentes comunes y personalizaciones puntuales ofrece al atacante versatilidad y resiliencia frente a bloqueos puntuales.
Desde la perspectiva de riesgo, la concentración geográfica y sectorial de los objetivos, junto con el foco en robo de credenciales y exfiltración de información crítica, hace que la hipótesis de espionaje sea la más verosímil; aun así, los investigadores advierten que no se puede descartar por completo un trasfondo criminal más clásico. El uso de herramientas compartidas y técnicas simples también abre la posibilidad de que otros actores copycat o grupos con motivaciones distintas reutilicen partes del conjunto de herramientas.
Para equipos de seguridad y responsables TI, las señales a observar incluyen ejecuciones inusuales de certutil o de binarios legítimos en contextos atípicos, presencia de web shells en rutas públicas del servidor web, actividad anómala en procesos de Python usados desde servidores web y patrones de acceso a ficheros de configuración y backups. Además, la detección temprana se beneficia del monitoreo continuo de integridad de archivos, la segmentación de redes web, la implementación de autenticación multifactor y la rotación agresiva de credenciales administrativas.
Si quieres profundizar en la metodología técnica y las IoCs que publica Unit 42, el informe original es el mejor punto de partida y ofrece detalles para equipos de respuesta e inteligencia: Unit 42 — CL-UNK-1068. Para aprender más sobre el historial de backdoors como Xnote y campañas relacionadas, revisa el análisis de detección histórica: Dr.Web — Xnote, y para ver ejemplos de cómo operan campañas multinivel con backdoors y robo de credenciales, el trabajo de Trend Micro sobre Earth Berberoka aporta contexto útil: Trend Micro — Earth Berberoka.
En resumen, estamos ante una operación que combina lo casero y lo comunitario para lograr objetivos sofisticados: pequeñas piezas ensambladas con criterio pueden provocar grandes filtraciones. La lección para organizaciones críticas es clara: no basta con protegerse contra exploits de último momento; hay que vigilar también el abuso de utilidades legítimas y los patrones más sutiles de reconocimiento y exfiltración.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...