Investigadores de ciberseguridad han revelado detalles de una nueva campaña de espionaje alineada con China dirigida a sectores gubernamentales y de defensa en todo el sur, este y sudeste de Asia, junto con un gobierno europeo perteneciente a la OTAN.
Trend Micro ha atribuido la actividad a un grupo de actividades de amenazas que rastrea bajo la designación temporal. SOMBRA-TIERRA-053. Se considera que el colectivo adversario está activo desde al menos diciembre de 2024, aunque comparte cierto nivel de superposición de red con CL-STA-0049, Earth Alux y REF7707.
«El grupo explota las vulnerabilidades del día N en los servidores Microsoft Exchange y Internet Information Services (IIS) conectados a Internet (por ejemplo, la cadena ProxyLogon), luego implementa shells web (Godzilla) para acceso persistente y organiza implantes ShadowPad mediante descarga DLL de ejecutables firmados legítimos», dijeron los investigadores de seguridad Daniel Lunghi y Lucas Silva en un análisis.
Los objetivos de las campañas incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. El único país europeo que figura en la huella victimológica del actor de amenazas es Polonia.
El proveedor de ciberseguridad dijo que observó casi la mitad de los objetivos de SHADOW-EARTH-053, particularmente aquellos en Malasia, Sri Lanka y Myanmar, también comprometidos anteriormente por un conjunto de intrusiones relacionado denominado SHADOW-EARTH-054, aunque no se ha observado evidencia de coordinación operativa directa.
El punto de partida de los ataques es la explotación de fallos de seguridad conocidos para violar sistemas sin parches y lanzar web shells como Godzilla para facilitar el acceso remoto persistente. Los web shells funcionan como un vehículo de entrega para la ejecución de comandos, lo que permite el reconocimiento y, en última instancia, da como resultado la implementación de la puerta trasera ShadowPad a través de AnyDesk. El malware se inicia mediante carga lateral de DLL.
En al menos un caso, se dice que la utilización de React2Shell (CVE-2025-55182) como arma facilitó la distribución de una versión Linux de Noodle RAT (también conocido como ANGRYREBEL y Nood RAT). Vale la pena mencionar aquí que Google Threat Intelligence Group (GTIG) vinculó esta cadena de ataque a un grupo conocido como UNC6595.
También se utilizan herramientas de tunelización de código abierto como IOX, GO Simple Tunnel (GOST) y Wstunnel, así como RingQ para empaquetar archivos binarios maliciosos y evadir la detección. Para facilitar la escalada de privilegios, se ha descubierto que SHADOW-EARTH-053 utiliza Mimikatz, mientras que el movimiento lateral se logra mediante un iniciador de protocolo de escritorio remoto (RDP) personalizado y una implementación C# de SMBExec conocida como Sharp-SMBExec.
«El principal vector de entrada utilizado en esta campaña fueron las vulnerabilidades en las aplicaciones IIS conectadas a Internet», afirmó Trend Micro. «Las organizaciones deben priorizar la aplicación de las últimas actualizaciones de seguridad y parches acumulativos a Microsoft Exchange y cualquier aplicación web alojada en IIS».
«En escenarios donde la aplicación de parches inmediatos no es factible, recomendamos encarecidamente implementar sistemas de prevención de intrusiones (IPS) o firewalls de aplicaciones web (WAF) con conjuntos de reglas específicamente ajustados para bloquear intentos de explotación contra estos conocidos CVE (parches virtuales)».
GLITTER CARP y SEQUIN CARP persiguen a activistas y periodistas
La divulgación se produce cuando Citizen Lab señaló una nueva campaña de phishing emprendida por dos actores de amenazas distintos afiliados a China que apuntan y se hacen pasar por periodistas y la sociedad civil, incluidos activistas de la diáspora uigures, tibetanos, taiwaneses y de Hong Kong. Las campañas de amplio alcance se detectaron por primera vez en abril y junio de 2025, respectivamente.
Los grupos han sido nombrados en código. CARPA BRILLANTEque ha destacado al Consorcio Internacional de Periodistas de Investigación (ICIJ), y CARPA DE LENTEJUELAScuyo objetivo principal era la periodista del ICIJ Scilla Alecci y otros periodistas internacionales que escribían sobre temas de interés crítico para el gobierno chino.
«El actor emplea esquemas de suplantación de identidad digital bien pensados en correos electrónicos de phishing, incluida la suplantación de personas conocidas y alertas de seguridad de empresas de tecnología», dijo Citizen Lab. «Aunque los grupos objetivo varían, esta actividad emplea la misma infraestructura y tácticas en todos los casos, reutilizando con frecuencia los mismos dominios y las mismas personas suplantadas en múltiples objetivos».
GLITTER CARP, además de realizar ataques de phishing a gran escala, ha estado vinculado a campañas de phishing dirigidas a la industria de semiconductores de Taiwán. Algunos aspectos de estos esfuerzos fueron documentados previamente por Proofpoint en julio de 2025 con el nombre UNK_SparkyCarp. SEQUIN CARP, por otro lado, comparte similitudes con un grupo rastreado por Volexity como UTA0388 y un conjunto de intrusión detallado por Trend Micro como TAOTH.
El objetivo final de las campañas es obtener acceso inicial a cuentas de correo electrónico mediante la recolección de credenciales, páginas de phishing o mediante ingeniería social al objetivo para que otorgue acceso a un token OAuth de terceros. Los correos electrónicos de phishing de GLITTER CARP también implican el uso de píxeles de seguimiento 1×1 que apuntan a una URL en el dominio del atacante para recopilar información del dispositivo y confirmar si fueron abiertos por los destinatarios.
Citizen Lab dijo que «observó ataques simultáneos a organizaciones específicas utilizando tanto el kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) como la entrega de HealthKick utilizando diferentes tácticas de phishing por parte de un grupo separado (UNK_DropPitch)». Esto indica cierto nivel de superposición entre estos grupos, añadió, aunque la naturaleza precisa de la relación sigue siendo desconocida.
«Nuestro análisis de los ataques GLITTER CARP y SEQUIN CARP muestra que la represión transnacional digital opera cada vez más a través de una red distribuida de actores», dijo la unidad de investigación. «Los objetivos que identificamos tanto en GLITTER CARP como en SEQUIN CARP se alinean con las prioridades de inteligencia del gobierno chino».
«La amplitud de los objetivos documentados en este informe y en otros, combinada con la información disponible sobre el uso pasado y actual de contratistas por parte de China, que refleja la actividad que hemos observado, sugiere con un nivel medio de confianza que las entidades comerciales contratadas por el Estado chino pueden haber estado detrás de ambos grupos de actividad descritos aquí».
