Una operación de ciberespionaje vinculada a actores con base en China ha sido identificada tras varios años de actividad encubierta contra organismos militares del sudeste asiático.
La campaña, que podría haberse iniciado al menos en 2020, muestra características propias de operaciones de inteligencia digital diseñadas para infiltrarse en redes sensibles y obtener información estratégica durante largos periodos de tiempo.
Los investigadores de seguridad que han analizado la intrusión atribuyen la actividad a un grupo rastreado bajo la denominación CL-STA-1087.
En esta clasificación, el término clúster se utiliza para agrupar comportamientos técnicos similares, mientras que la etiqueta STA indica una motivación vinculada a intereses estatales. Este tipo de nomenclatura es habitual en la investigación de amenazas persistentes avanzadas, conocidas como APT.
El objetivo principal de la campaña no parece haber sido la exfiltración masiva de datos, sino la obtención selectiva de información relacionada con estructuras militares, capacidades estratégicas y cooperación con aliados occidentales..
Inteligencia militar como principal objetivo
Durante la investigación se detectó que los atacantes buscaban activamente documentos relacionados con estructuras organizativas de defensa, evaluaciones de capacidades militares y registros de reuniones oficiales.
También se identificó un interés particular en información vinculada a sistemas de mando y control, comunicaciones militares y plataformas de inteligencia.
Este tipo de información es especialmente valiosa para operaciones de espionaje estratégico, ya que permite comprender la organización interna de las fuerzas armadas, identificar vulnerabilidades operativas y anticipar estrategias de defensa.
La actividad observada sugiere que los intrusos mantuvieron acceso a los sistemas comprometidos durante largos periodos, recopilando datos específicos de forma discreta para evitar activar alertas de seguridad.
Herramientas de intrusión diseñadas para persistencia
Entre las herramientas empleadas por los atacantes se encuentran varias puertas traseras personalizadas. Dos de las más relevantes son AppleChris y MemFun, desarrolladas para mantener acceso remoto a los sistemas infectados y ejecutar comandos desde servidores controlados por los operadores del ataque.
Además de estas herramientas, la campaña incorporaba un recolector de credenciales denominado Getpass, que permitía obtener información de autenticación almacenada en los sistemas comprometidos.
La intrusión fue detectada inicialmente cuando los analistas identificaron una ejecución sospechosa de PowerShell. El script utilizado permanecía inactivo durante varias horas antes de establecer comunicación con un servidor externo de comando y control.
Este retraso en la ejecución es una técnica habitual para evitar sistemas automáticos de análisis de malware.
AppleChris como puerta trasera diseñada para espionaje prolongado
El malware AppleChris fue utilizado como una de las principales herramientas de acceso remoto. Las diferentes variantes observadas se desplegaban en los equipos comprometidos tras movimientos laterales dentro de la red, lo que permitía ampliar el control sobre múltiples dispositivos.
Una vez activo, el programa podía ejecutar diversas funciones en los sistemas afectados, entre ellas enumerar discos duros, listar directorios, transferir archivos y ejecutar comandos de forma remota. También permitía iniciar procesos adicionales sin generar alertas visibles para los usuarios.
Una de las características técnicas más destacadas del malware es su mecanismo para localizar la infraestructura de control. En lugar de comunicarse directamente con un servidor fijo, el programa accedía a cuentas públicas en plataformas como Pastebin para obtener direcciones de conexión codificadas mediante Base64. Este método, conocido como dead drop resolver, dificulta el rastreo de la infraestructura utilizada por los atacantes.
Algunas variantes también utilizaban servicios en la nube como Dropbox para recuperar configuraciones adicionales en caso de que la infraestructura principal fuera bloqueada.
MemFun es un sistema modular muy avanzado
La segunda herramienta principal utilizada en la campaña fue MemFun, una puerta trasera más sofisticada diseñada con arquitectura modular. A diferencia de AppleChris, que funciona como un malware relativamente estático, MemFun permite descargar componentes adicionales desde servidores de control durante su ejecución.
El proceso de infección comienza con un cargador inicial que introduce código malicioso en memoria. Posteriormente se descarga un módulo encargado de establecer comunicación con el servidor de control y recuperar nuevas bibliotecas dinámicas que activan la funcionalidad completa del malware.
Esta estructura permite a los atacantes modificar las capacidades del software sin necesidad de reinfectar los sistemas. De este modo pueden adaptar las herramientas a distintos objetivos o introducir nuevas funciones en función de las necesidades de la operación.
El malware también utiliza técnicas antiforenses para ocultar su presencia. Antes de ejecutarse, modifica las marcas temporales de archivos para simular que fueron creados junto a componentes legítimos del sistema operativo.
Posteriormente inyecta su código en procesos legítimos de Windows mediante una técnica conocida como process hollowing.
Robo de credenciales y expansión dentro de la red
Para ampliar su acceso dentro de las redes comprometidas, los atacantes utilizaron una versión modificada de la herramienta Mimikatz denominada Getpass. Este software permite extraer contraseñas almacenadas en memoria, así como hashes de autenticación utilizados por el sistema operativo.
La información obtenida facilita escalar privilegios y acceder a otros sistemas dentro de la red corporativa o institucional. Esta estrategia de movimiento lateral es común en campañas de ciberespionaje, ya que permite a los atacantes ampliar progresivamente su control sin generar actividad sospechosa en los perímetros de seguridad.
