Los cazadores de amenazas han expuesto las tácticas de un actor de amenaza alineado por China Libro no solicitado Eso dirigió a una organización internacional no identificada en Arabia Saudita con una puerta trasera previamente indocumentada denominada Marsssnake.
Eset, que descubrió por primera vez las intrusiones del grupo de piratería dirigida a la entidad en marzo de 2023 y nuevamente un año después, dijo que la actividad aprovecha los correos electrónicos de phishing de lanza utilizando boletos de avión como señuelos para infiltrarse en objetivos de interés.
“UnsoleditedBooker envía correos electrónicos de phishing de lanza, generalmente con un boleto de avión como señuelo, y sus objetivos incluyen organizaciones gubernamentales en Asia, África y Oriente Medio”, dijo la compañía en su último informe de actividad APT para el período que van desde octubre de 2024 hasta marzo de 2025.
Los ataques montados por el actor de amenaza se caracterizan por el uso de puertas traseras como Chinoxy, Deedrat, Poison Ivy y Berat, que son ampliamente utilizados por los equipos de piratería chinos.
Se evalúa que UndoledBooker compartir superposiciones con un clúster rastreado como piratas espaciales y un clúster de actividad de amenazas no atribuida que se encontró desplegando una puerta en la puerta trasera con nombre en código Zardoor contra una organización islámica sin fines de lucro en Arabia Saudita.
La última campaña, vista por la compañía de seguridad cibernética eslovaca en enero de 2025, implicó enviar un correo electrónico de phishing que afirmaba ser de Saudia Airlines a la misma organización de Arabia Saudita sobre una reserva de vuelos.
“Se adjunta un documento de Microsoft Word al correo electrónico, y el contenido de señuelo (…) es un boleto de avión modificado pero se basa en un PDF disponible en línea en el sitio web de la Academia, una plataforma para compartir investigaciones académicas que permite cargar archivos PDF”, dijo Eset.
El documento de Word, una vez lanzado, desencadena la ejecución de una macro VBA que decodifica y escribe en el sistema de archivos un ejecutable (“SMSSDRVHOST.exe”) que, a su vez, actúa como un cargador para Marssnake, una puerta trasera que establece comunicaciones con un servidor remoto (“Contacto. Contacto. Decenttoy (.) Superior”).
“Los múltiples intentos de comprometer a esta organización en 2023, 2024 y 2025 indican un fuerte interés por parte de UnyeditedBooker en este objetivo específico”, dijo Eset.
La divulgación se produce cuando otro actor de amenaza china rastreó como Perplexedgoblin (también conocido como APT31) atacó a una entidad del gobierno de Europa Central en diciembre de 2024 para desplegar una puerta trasera de espionaje denominada nanoslate.
ESET dijo que también identificó a los recicladores digitales continuos ataques contra entidades gubernamentales de la Unión Europea, haciendo uso de la red de Relé Operacional (ORB) de KMA VPN para ocultar su tráfico de red e implementar los backpards Rclient, Hydrorshell y Giftbox.
DigitalRecyclers fue detectado por primera vez por la compañía en 2021, aunque se cree que es activo desde al menos 2018.
“Probablemente vinculados a Ke3Chang y Backdoordiplomacy, DigitalRecyclers opera dentro del Galaxia APT15”, dijo Eset. “Implementan el implante Rclient, una variante del Proyecto KMA Stealer. En septiembre de 2023, el grupo introdujo una nueva puerta trasera, Hydrorshell, que utiliza el protobuf de Google y TLS para las comunicaciones de C&C”.
