El actor de amenaza vinculado a China conocido como UNC5174 se ha atribuido a una nueva campaña que aprovecha una variante de un malware conocido denominado Snowlight y una nueva herramienta de código abierto llamada Vshell para infectar a los sistemas Linux.
«Los actores de amenazas están utilizando cada vez más herramientas de código abierto en sus arsenales para la rentabilidad y la ofuscación para ahorrar dinero y, en este caso, se combinan plausiblemente con el grupo de adversarios no patrocinados por el estado y, a menudo, los adversarios técnicos (por ejemplo, Script Kiddies), lo que hace que la atribución sea aún más difícil», dijo el investigador de Sysdig Alessandra Rizzo en un informe con las noticias de los hackers.
«Esto parece ser especialmente cierto para este actor de amenaza en particular, que ha estado bajo el radar durante el último año desde que está afiliado al gobierno chino».
UNC5174, también conocido como Uteus (o UETUS), fue previamente documentado por Mandiant, propiedad de Google, como fallas de seguridad de explotación en Connectwise ScreenConnect y F5 Big-IP Software para entregar un descargador de elfo basado en C llamado Snowly, que está diseñado para obtener un Túneler de Golang Dubbed Goheavy de Infrastructure Canded a un comando disponible en público. Supershell.
También se desplegó en los ataques Goreverse, una puerta trasera de Shell Inverse de Shell disponible públicamente escrita en Golang que funciona a través de Secure Shell (SSH).
The French National Agency for the Security of Information Systems (ANSSI), in its Cyber Threat Overview report for 2024 published last month, said it observed an attacker employing similar tradecraft as that of UNC5174 to weaponize security flaws in Ivanti Cloud Service Appliance (CSA) such as CVE-2024-8963, CVE-2024-9380, and CVE-2024-8190 to gain control y ejecutar código arbitrario.
«Moderadamente sofisticado y discreto, este conjunto de intrusiones se caracteriza por el uso de herramientas de intrusión en gran medida disponibles como código abierto y por el uso de un código RootKit», ya informado públicamente, «, dijo el ANSSI.
Vale la pena señalar que tanto Snowlight como Vshell son capaces de atacar a los sistemas Apple MacOS, con este último distribuido como una aplicación de autenticador falso de CloudFlare como parte de una cadena de ataque aún sin detectación, según un análisis de artefactos cargados a Virustotal desde China en octubre de 2024.
En la cadena de ataque observada por Sysdig a fines de enero de 2025, el malware de la luz de nieve actúa como un gotero para una carga útil en memoria sin archivo llamada Vshell, un troyano de acceso remoto (rata) ampliamente utilizado por los ciberdelincuentes de habla china. El vector de acceso inicial utilizado para el ataque se desconoce actualmente.
Específicamente, el acceso inicial se utiliza para ejecutar un script bash malicioso («download_backd.sh») que despliega dos binarios asociados con la linda (DNSLOGER) y Sliver (System_Worker), que se utilizan para configurar la persistencia y establecer comunicaciones con un servidor C2.
La etapa final del ataque ofrece Vshell a través de Snowlight mediante una solicitud especialmente elaborada al servidor C2, lo que permite el control remoto y una mayor explotación posterior a la compromiso.
«(Vshell) actúa como una rata (troyano de acceso remoto), lo que permite a sus abusadores ejecutar comandos arbitrarios y descargar o cargar archivos», dijo Rizzo. «Snowlight y Vshell representan un riesgo significativo para las organizaciones debido a sus técnicas sigilosas y sofisticadas», dijo Sysdig. «Esto se evidencia por el empleo de WebSockets para comando y control, así como la carga útil de Vshell Filless».
La divulgación se produce cuando TeamT5 reveló que un grupo de piratería de China-Nexus probablemente explotó fallas de seguridad en los electrodomésticos Ivanti (CVE-2025-0282 y CVE-2025-22457) para obtener acceso inicial e implementar el malware Spawnchimera.
Los ataques, dijo la compañía de seguridad cibernética taiwanesa, se dirigieron a una multitud de sectores que abarcan casi 20 países diferentes, como Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Los hallazgos también encajan con las acusaciones de China de que la Agencia de Seguridad Nacional de los Estados Unidos (NSA) lanzó ataques cibernéticos «avanzados» durante los Juegos de Invierno Asiáticos en febrero, señalando los dedos a tres agentes de la NSA para ataques repetidos contra la infraestructura de información crítica de China, así como contra Huawei.
«En los noveno Juegos de Invierno Asiáticos, el gobierno de los Estados Unidos realizó ataques cibernéticos sobre los sistemas de información de los Juegos y la infraestructura de información crítica en Heilongjiang», dijo el portavoz del Ministerio de Relaciones Exteriores, Lin Jian. «Este movimiento es atroz porque pone en peligro severamente la seguridad de la infraestructura de información crítica de China, la defensa nacional, las finanzas, la sociedad y la producción, así como la información personal de sus ciudadanos».
