Operación “Ojo de Dios”: Infiltración de APT de Origen Chino en Infraestructuras Críticas mediante Túneles de Visual Studio Code
Contexto y Alcance del Compromiso con el Ojo de Dios
Entre fines de junio y mediados de julio de 2024, un presunto agente de amenazas vinculado a intereses chinos desplegó una campaña de intrusión dirigida contra proveedores de servicios tecnológicos empresariales (B2B) de gran escala en el sur de Europa.
Este grupo de actividades operativas, identificado bajo el nombre en clave Operación “Ojo de Dios”, exhibió tácticas orientadas a establecer accesos privilegiados en infraestructuras digitales críticas, con el potencial de comprometer entidades dependientes mediante vectores de propagación descendente.
La intervención coordinada de SentinelLabs y Tinexta Cyber logró detectar e interrumpir estas operaciones en su fase incipiente, mitigando su alcance.
Metodología y Herramientas de Propagación
El adversario empleó técnicas de movimiento lateral que sugieren la participación de un proveedor compartido o cuartelero digital —entidad encargada del desarrollo, mantenimiento y distribución de herramientas ofensivas dentro del ecosistema de APT chinas—.
Como elemento distintivo, se documentó el abuso de las funcionalidades de Visual Studio Code y de la infraestructura de Microsoft Azure para establecer canales de comando y control (C2).
Este modus operandi buscaba mimetizar actividades maliciosas como legítimas operaciones de desarrollo, evadiendo así mecanismos de detección convencionales.
Relevancia Técnica e Implicancias Estratégicas
Cabe destacar que la explotación de Visual Studio Code con fines de C2 constituye una innovación táctica de notable rareza en el panorama de amenazas globales previo a esta campaña.
La Operación “Ojo de Dios” representa, según nuestros registros, el primer caso documentado en que un grupo de APT asociado a China utiliza este método de manera operativa. Este hallazgo no solo subraya la adaptabilidad técnica de estos actores, sino también su capacidad para instrumentalizar herramientas cotidianas del ámbito tecnológico en aras de operaciones de alto impacto estratégico.
Nota de investigación: Los datos analíticos proceden de observaciones directas y análisis forenses realizados durante la intervención inicial.
Panorama General
Tinexta Cyber y SentinelLabs han monitoreado actividades de amenazas dirigidas a proveedores de servicios tecnológicos empresariales (B2B) en el sur de Europa.
A partir del análisis del malware, la infraestructura empleada, las técnicas identificadas, la victimología y la temporalidad de las operaciones, evaluamos con alto grado de certeza que estos ataques fueron perpetrados por un actor de amenazas vinculado a China, con motivaciones asociadas al ciberespionaje.
Geopolítica y Contexto Operativo
Las relaciones entre los países europeos y China se enmarcan en una dinámica de cooperación estratégica, competencia tecnológica y tensiones subyacentes en áreas como comercio, inversión y desarrollo de infraestructuras críticas.
Grupos de ciberespionaje presuntamente asociados a intereses chinos han focalizado de manera recurrente a organizaciones públicas y privadas en Europa, con el objetivo de recopilar inteligencia estratégica, consolidar ventajas competitivas y promover agendas geopolíticas, económicas y tecnológicas.
La campaña, designada como Operación “Ojo de Dios”, se desarrolló entre fines de junio y mediados de julio de 2024, abarcando aproximadamente tres semanas.
Las entidades atacadas se especializan en soluciones de gestión de datos, infraestructuras digitales y ciberseguridad para clientes de múltiples industrias, lo que las convierte en blancos prioritarios para actores dedicados al espionaje cibernético.
Una presencia prolongada en estas organizaciones habría permitido a los operadores de “Ojo de Dios” establecer una posición estratégica, facilitando intrusiones transversales en la cadena de suministro digital y el control de procesos críticos en entidades dependientes.
Las actividades fueron detectadas y neutralizadas en etapas tempranas, limitando su escalada.
Atribución y Herramientas Especializadas
La identificación del grupo responsable de “Ojo de Dios” se ve obstaculizada por la circulación extensiva de malware, manuales operativos y protocolos de gestión de infraestructura dentro del ecosistema de amenazas chino.
Los atacantes emplearon una capacidad de pass-the-hash —técnica que, según evidencias, proviene de modificaciones cerradas de Mimikatz (denominadas mimCN) observadas exclusivamente en operaciones de ciberespionaje atribuidas a China, como la Operación Soft Cell y la Operación Tainted Love.
Estas herramientas han sido vinculadas a múltiples grupos de APT chinos, lo que sugiere un repertorio técnico compartido.
La evolución a largo plazo de las variantes de mimCN, junto a características distintivas como instrucciones destinadas a equipos operativos externos, apuntan a la participación de un cuartelero digital: un proveedor compartido encargado del mantenimiento activo y distribución de herramientas ofensivas.
Esta función, corroborada por la filtración de I-Soon, desempeña un rol clave en la estructura operativa del ecosistema de APT chino, facilitando campañas de alcance global.
Innovación Táctica: Abuso de Visual Studio Code
El eje central de la campaña radica en la explotación de los Túneles Remotos de Visual Studio Code para propósitos de Comando y Control (C2).
Diseñada originalmente para desarrollo remoto, esta tecnología permite acceso total al endpoint, incluyendo ejecución de comandos y manipulación del sistema de archivos. Además, los túneles utilizan ejecutables firmados por Microsoft y se alojan en infraestructura de Azure, elementos que suelen eludir controles de aplicación y reglas de firewall debido a su apariencia legítima.
Esta combinación de acceso privilegiado y evasión de defensas convierte a los túneles en un recurso atractivo y poderoso para actores maliciosos.
Colaboración y Medidas Correctivas
Tinexta Cyber y SentinelLabs han notificado a Microsoft sobre el uso malicioso de Visual Studio Code y Azure en el marco de “Ojo de Dios”. Esta colaboración subraya la necesidad de vigilancia proactiva ante la instrumentalización de herramientas legítimas en operaciones de alto impacto, así como la urgencia de fortalecer mecanismos de detección en entornos de desarrollo y cloud.
Vector de Infección y Progresión del Ataque
Los atacantes emplearon inyección SQL como vector de acceso inicial para infiltrar servidores web y de bases de datos expuestos a Internet. Los registros de tráfico analizados revelan que utilizaron la herramienta sqlmap para automatizar la detección y explotación de vulnerabilidades de inyección, identificable en las cabeceras User-Agent de las solicitudes maliciosas.
Establecimiento de Persistencia y Ejecución de Código
Tras la infiltración, los actores desplegaron un webshell basado en PHP, denominado PHPsert por nuestros equipos.
De diseño minimalista, este artefacto aprovecha la función assert de PHP para ejecutar código arbitrario suministrado por los atacantes. Su arquitectura no coincide con ningún webshell conocido previamente, lo que sugiere un desarrollo ad hoc.
Para evadir detecciones basadas en nombres de archivo, los operadores personalizaron las denominaciones de los scripts según el entorno comprometido, utilizando términos técnicos y léxico local que mimetizaban archivos legítimos del sistema.
Reconocimiento y Exfiltración de Credenciales
Una vez establecida la presencia inicial, los atacantes realizaron actividades de reconocimiento mediante herramientas de terceros y utilidades nativas de Windows, como GetUserInfo y ping.
Adicionalmente, desplegaron local.exe —perteneciente al Microsoft Windows NT Resource Kit— para mapear membresías de grupos de usuarios.
La fase de robo de credenciales incluyó dos métodos clave:
- Extracción de memoria del proceso LSASS mediante
CreateDump, herramienta incluida en la distribución del Microsoft .NET Framework, para exfiltrar datos sensibles. - Acceso al registro SAM a través del comando
reg save, permitiendo la recuperación de hashes de contraseñas almacestadas en el registro de Windows.
Los archivos maliciosos seguían un patrón nominativo do.*, con ejemplos como do.log (resultados de ping), do.exe (instancia de CreateDump) y do.bat (script de ejecución autodestructiva), estrategia que buscaba confundir análisis superficiales.
Movimiento Lateral y Técnicas de Evasión
Desde los puntos de acceso iniciales, los atacantes avanzaron lateralmente por la red interna utilizando conexiones RDP (Remote Desktop Protocol) y técnicas pass-the-hash.
Para estas últimas, emplearon una versión modificada de Mimikatz —identificada como bK2o.exe—, vinculada a las variantes mimCN documentadas en operaciones previas de ciberespionaje chino.
Además del webshell PHPsert, los operadores implementaron dos métodos alternos de ejecución remota:
- Acceso SSH: Mediante la implantación de archivos
authorized_keyscon claves públicas controladas por los atacantes. - Túneles de Visual Studio Code: Aprovechando la tecnología dev tunnel de Microsoft para establecer backdoors persistentes con acceso completo a terminales y sistemas de archivos.
Estrategias de Ofuscación y Alojamiento
Para enmascarar sus actividades, los atacantes utilizaron principalmente dos directorios:
%SystemRoot%\Temp: Ubicación estándar de archivos temporales en Windows, comúnmente submonitoreada.%ProgramData%\Visual Studio Code: Ruta asociada legítimamente al IDE, elegida para simular operaciones de desarrollo rutinarias.
Interrupción Temprana y Consecuencias Mitigadas
Las intrusiones fueron neutralizadas por SentinelLabs y Tinexta Cyber durante fases iniciales, impidiendo que los atacantes alcanzaran etapas avanzadas como exfiltración masiva de datos o escalada de privilegios sostenida.
Este éxito operativo subraya la importancia de la detección proactiva en entornos donde herramientas legítimas son explotadas para fines maliciosos.
Utilización Indebida de Visual Studio Code
Los actores de amenaza desplegaron un ejecutable portátil de Visual Studio Code, denominado code.exe, el cual se encuentra firmado digitalmente por Microsoft, y para operarlo como un servicio de Windows, utilizaron la herramienta winsw.
El archivo de configuración de winsw que obtuvimos nos da la pauta de que los atacantes generaron un servicio llamado “Visual Studio Code Service”, que ejecuta code.exe con el parámetro de línea de comandos tunnel cada vez que arranca el sistema.
El archivo de configuración deja al descubierto una táctica pragmática por parte de los actores de amenaza, quienes, con alta probabilidad, le hicieron modificaciones a una configuración de winsw que estaba a disposición del público.
Esta presunción se basa en el empleo del identificador de servicio myapp y el directorio %BASE%\logs para guardar los archivos de registro de winsw, ambos elementos que también se encuentran en la configuración pública, así como en la que logramos recuperar.
Archivo de Configuración de winsw
El parámetro tunnel le indica a Visual Studio Code que genere un túnel de desarrollo y actúe como un servidor al cual usuarios remotos pueden conectarse.
Luego de autenticarse al túnel con una cuenta de Microsoft o GitHub, los usuarios remotos pueden acceder al punto final que está ejecutando el servidor de Visual Studio Code, ya sea mediante la aplicación de escritorio de Visual Studio Code o la versión basada en navegador, vscode.dev.
Después de generar los túneles de desarrollo, los actores de amenaza se autenticaron utilizando cuentas de GitHub y accedieron a los puntos finales comprometidos a través de la versión de Visual Studio Code basada en navegador.
No tenemos conocimiento de si los actores de amenaza utilizaron cuentas de GitHub auto-registradas o comprometidas para autenticarse a los túneles.
Infraestructura de Red
Los actores de la Operación OJO DE DIOS utilizaron infraestructura ubicada exclusivamente dentro de Europa, proveniente del proveedor M247 y la plataforma en la nube Microsoft Azure.
Esto probablemente formó parte de una estrategia deliberada. Dado que las organizaciones objetivo tienen su sede y operan dentro de Europa, los atacantes podrían haber buscado minimizar sospechas alineando la ubicación de su infraestructura con la de sus objetivos.
Además, la infraestructura en la nube que se utiliza comúnmente en flujos de trabajo legítimos de TI, como Microsoft Azure, a menudo no se monitorea de cerca y frecuentemente se permite a través de restricciones de firewall.
Al aprovechar la infraestructura de nube pública para fines maliciosos, los atacantes lograron que el tráfico pareciera legítimo, lo cual puede ser difícil de detectar y podría evadir las defensas de seguridad.
En las fases iniciales de los ataques, los actores de amenaza utilizaron el servidor con dirección IP 146.70.161[.]78 para establecer el acceso inicial detectando y explotando vulnerabilidades de inyección SQL, y el servidor con dirección IP 185.76.78[.]117 para operar la webshell PHPsert. Ambas direcciones IP están asignadas al proveedor de infraestructura M247 y están ubicadas en Polonia e Italia, respectivamente.
En las fases posteriores de los ataques, los actores de amenaza utilizaron el servidor con dirección IP 4.232.170[.]137 con fines de C2 al acceder remotamente a los puntos finales comprometidos a través del protocolo SSH. Este servidor forma parte de la infraestructura Azure de Microsoft en la región del centro de datos Italia del Norte (rango de IP de Azure: 4.232.128[.]0/18, etiqueta de servicio: AzureCloud.italynorth).
Actualmente no tenemos información sobre si los actores de amenaza utilizaron credenciales de Azure auto-registradas o comprometidas para acceder y administrar los recursos y servicios de Azure.
El uso indebido del túnel de Visual Studio Code para fines de C2 también se basa en la infraestructura de Microsoft Azure.
Crear y alojar un túnel de desarrollo requiere conectarse a un servidor de Microsoft Azure con un dominio de *.[clusterID].devtunnels.ms, donde [clusterID] corresponde a la región de Azure del punto final que ejecuta el servidor de Visual Studio Code, como euw para Europa Occidental.
En la Operación OJO DE DIOS, la creación de túneles de desarrollo implicó el establecimiento de conexiones con el servidor con el dominio [REDACTADO].euw.devtunnels[.]ms, que se resolvió a la dirección IP 20.103.221[.]187.
Este servidor forma parte de la infraestructura Azure de Microsoft en la región del centro de datos Europa Occidental (rango de IP de Azure: 20.103.0[.]0/16, etiqueta de servicio: AzureCloud.westeurope).
La Webshell PHPsert
PHPsert ejecuta código PHP proporcionado por el atacante utilizando la función assert, la cual, en versiones de PHP anteriores a la 8.0.0, interpreta y ejecuta cadenas de parámetros como código PHP.
Para dificultar el análisis estático y eludir la detección, la webshell emplea diversas técnicas de ofuscación de código, incluyendo codificación XOR, representación de caracteres hexadecimales, concatenación de cadenas, y nombres de variables aleatorios.
Funcionamiento de la Webshell PHPsert
La webshell PHPsert opera de la siguiente manera:
PHPsert instancia una clase con un único método regular, que descodifica mediante XOR y concatena caracteres hexadecimales para generar la cadena assert.
El destructor de la clase (el método mágico __destruct) utiliza esta cadena para invocar la función assert, pasando código PHP proporcionado por el atacante como parámetro.
La webshell recupera el código PHP proporcionado por el atacante desde un parámetro de solicitud HTTP POST, por ejemplo, momomomo.
Si el parámetro id está presente en la URL de la solicitud, PHPsert decodifica el valor codificado en Base64 del parámetro POST. Si el parámetro id está ausente, la webshell utiliza el valor en bruto del parámetro.
Finalmente, cuando PHPsert termina de ejecutarse, se invoca el destructor de la clase, que a su vez llama a la función assert para ejecutar el código PHP proporcionado por el atacante.
Identificamos múltiples variantes de PHPsert, las cuales han sido enviadas a plataformas de intercambio de malware desde mayo de 2023, provenientes de diversas ubicaciones incluyendo Japón, Singapur, Perú, Taiwán, Irán, Corea y Filipinas.
Estas variantes muestran solo diferencias menores en su implementación, tales como nombres de variables distintos y parámetros de solicitud POST como mr6, brute, y qq.
Nuestro análisis sugiere que PHPsert se despliega no solo como un archivo PHP independiente, sino que también se integra en diversos tipos de contenido web, incluyendo editores de texto web y gestores de contenido.
Una de las variantes de PHPsert contiene fragmentos de código comentados y comentarios en chino simplificado que describen código cercano. Estos comentarios y fragmentos no están presentes en las versiones de PHPsert observadas en la Operación OJO DE DIOS, ni en ninguna de las otras variantes de la webshell.
A continuación se presentan los comentarios de código, todos los cuales han sido traducidos automáticamente del chino simplificado:
结果是”assert” , que se traduce como “El resultado es ‘assert'”.
验证 $this->rg 是否安全 , que se traduce como “Verificar si $this->rg es seguro”.
验证和清理用户输入 , que se traduce como “Validar y sanear la entrada del usuario”.
Fragmentos de Código PHPsert con Comentarios en Chino
La presencia de estos comentarios, junto con los indicios de código eliminado a lo largo de las variantes de PHPsert, sugiere la potencial participación de desarrolladores de habla china que podrían haber estado simplificando la lógica de ejecución de la webshell.
Capacidad de “Pass-the-Hash”
El ejecutable bK2o.exe (una versión modificada y personalizada de Mimikatz utilizada en la Operación OJO DE DIOS para ataques de “pass-the-hash”) permite la ejecución de procesos dentro del contexto de seguridad de un usuario, aprovechando un hash de contraseña NTLM comprometido, y evitando la necesidad de la contraseña real del usuario.
Para lograr esto, bK2o.exe sobreescribe la memoria del proceso LSASS. La herramienta soporta los siguientes parámetros de línea de comandos:
/c: El proceso a ejecutar; por defecto es cmd.exe si no se proporciona.
/u: El nombre de usuario del usuario.
/d: El dominio del usuario.
/h: El hash de contraseña NTLM.
bK2o.exe implementa una técnica de “pass-the-hash” sobreescribiendo la memoria LSASS de una manera similar a Mimikatz, con su implementación parcialmente superpuesta con funciones de Mimikatz tales como;
kuhl_m_sekurlsa_pth_luid y kuhl_m_sekurlsa_msv_enum_cred_callback_pth. En resumen, bK2o.exe realiza lo siguiente:
Crea un proceso suspendido en una nueva sesión de inicio de sesión, especificando el proceso proporcionado por el atacante, el nombre de usuario, el dominio y una contraseña vacía.
Basándose en el identificador único local (LUID) de la sesión, localiza y extrae de la memoria del proceso LSASS un “blob” de datos de credenciales encriptado que contiene el hash NTLM del usuario y las claves de encriptación necesarias para desencriptar el “blob”.
Desencripta el “blob” de datos, sobreescribe el hash NTLM del usuario con el hash proporcionado por el atacante, y vuelve a encriptar el “blob” de datos.
Reanuda el proceso suspendido.
Navegación por la Memoria LSASS
Para navegar por la memoria LSASS, bK2o.exe utiliza firmas de código, representadas como secuencias de bytes en formato hexadecimal. Estas secuencias se corresponden con instrucciones LSASS conocidas, que sirven como puntos de navegación dentro de la memoria.
Para dificultar el análisis estático y eludir la detección, bK2o.exe ofusca las firmas de código y las cadenas de texto, construyéndolas de manera dinámica en la pila en tiempo de ejecución, en lugar de almacenarlas como datos estáticos.
![bK2o.exe constructs the code signature 33 ff 41 89 37 4c 8b f3 [...] on the stack](https://www.sentinelone.com/wp-content/uploads/2024/11/Op_Digital_Eye5.jpg "Ojo de Dios: una operación que interpela la seguridad 2025 10")
Construcción de la Firma de Código 33 ff 41 89 37 4c 8b f3 […] en la pila por parte de bK2o.exeDe la Operación OJO DE DIOS a “Tainted Love” y “Soft Cell”
Identificamos dos muestras adicionales subidas a plataformas de intercambio de malware que construyen firmas de código en la pila, a las que nos referimos como wsx.exe y wsx1.exe. Al igual que bK2o.exe, tanto wsx.exe como wsx1.exe son versiones de Mimikatz modificadas y personalizadas que implementan la funcionalidad de “pass-the-hash”.
Segmentos de código sustanciales en wsx.exe y wsx1.exe, que implementan la construcción de firmas de código en la pila, se superponen con aquellos en bK2o.exe, incluyendo tamaños y valores de operandos de instrucciones mov idénticos.
Esto sugiere que wsx.exe, wsx1.exe y bK2o.exe muy probablemente se deriven del mismo origen.
Segmento de Código en bK2o.exe
Superposiciones entre wsx.exe, wsx1.exe y Componentes de mim221
A su vez, observamos superposiciones entre wsx.exe, wsx1.exe y componentes de mim221. mim221 es una herramienta de robo de credenciales versionada y con buen mantenimiento, también una versión modificada y personalizada de Mimikatz, que SentinelLabs detectó en la Operación “Tainted Love”, una campaña dirigida a proveedores de telecomunicaciones en Medio Oriente en 2023.
Atribuimos la Operación “Tainted Love” a un grupo sospechoso de ciberespionaje chino dentro del nexo de Granite Typhoon (anteriormente conocido como Gallium) y APT41, aunque reconocemos la posibilidad de que haya intercambio de herramientas entre actores de amenaza chinos patrocinados por el estado y la potencial participación de un proveedor compartido o un “intendente digital”.
Consideramos que mim221 representa una evolución de las herramientas asociadas con la Operación “Soft Cell”, como simplify_32.exe.
La Operación “Soft Cell”, que tuvo como objetivo a proveedores de telecomunicaciones en 2017 y 2018, ha sido vinculada a Granite Typhoon, y también se han sugerido posibles conexiones entre los actores de “Soft Cell” y APT41.
mim221 posee una arquitectura multi-componente, con un único ejecutable que organiza tres componentes — pc.dll, AddSecurityPackage64.dll, y getHashFlsa64.dll — utilizando técnicas tales como descifrado, inyección, y carga reflectiva de imágenes. Estos componentes comparten varias superposiciones con bK2o.exe, wsx.exe, y wsx1.exe.
Para dificultar el análisis estático, algunos componentes de mim221 también ofuscan cadenas de texto construyéndolas en la pila en tiempo de ejecución.
Adicionalmente, los componentes AddSecurityPackage64.dll y getHashFlsa64.dll de mim221 implementan un registro de errores similar al de wsx.exe y wsx1.exe, incluyendo mensajes de error personalizados idénticos, un formato de salida consistente, y los mismos errores en idioma inglés.
Información RTTI y Nombres de Clase Compartidos
Adicionalmente, la información RTTI (“Run-Time Type Information” o Información de Tipos en Tiempo de Ejecución) almacenada en wsx.exe, wsx1.exe, y el componente getHashFlsa64.dll de mim221 revela que clases con los mismos nombres se declaran a lo largo de estos ejecutables. No hemos observado estos nombres de clase en herramientas de código abierto o disponibles públicamente.
mimCN | Una Colección de Herramientas APT con Nexos Chinos
Debido a las superposiciones previamente analizadas entre bK2o.exe (empleado en la Operación OJO DE DIOS), wsx.exe, wsx1.exe, los componentes de mim221 (empleados en la Operación “Tainted Love”), y simplify_32.exe (empleado en la Operación “Soft Cell”), nos referimos colectivamente a este conjunto de herramientas como mimCN.
Inclusión en la Colección de Herramientas mimCN
Incluimos en la colección de herramientas mimCN no solo las herramientas previamente mencionadas, sino también cualquier otra modificación personalizada de Mimikatz que presente superposiciones con otros ejecutables mimCN, sugiriendo que podrían originarse de la misma fuente.
Dichas superposiciones incluyen certificados de firma de código compartidos y el uso de mensajes de error personalizados únicos o técnicas de ofuscación.
Hasta la fecha, hemos observado herramientas mimCN exclusivamente en el contexto de actividades APT sospechosas de origen chino.
Si bien las marcas de tiempo de compilación de las muestras de mimCN observadas en estas intrusiones podrían haber sido manipuladas, la proximidad de las marcas de tiempo al momento en que ocurrieron las actividades sugiere que es probable que sean auténticas.
| Operación | Muestra mimCN | Marca de tiempo de compilación (UTC) |
| OJO DE DIOS | bK2o.exe | Jue 30 de mayo 08:47:56 2024 |
| Tainted Love | mim221 (pc.exe) | Jue 09 de junio 08:02:12 2022 |
| Tainted Love | mim221 (AddSecurityPackage64.dll) | Jue 09 de junio 08:01:46 2022 |
| Tainted Love | mim221 (pc.dll) | Mar 07 de junio 16:55:05 2022 |
| Tainted Love | mim221 (getHashFlsa64.dll) | Vie 27 de mayo 20:56:26 2022 |
| Soft Cell | simplify_32.exe | Mar 20 de noviembre 03:54:21 2018 |
Utilización de muestras mimCN
Utilización de muestras mimCN
Además, instrucciones de uso únicas encontradas en algunas muestras de mimCN, como “[ERROR]Please input command. eg, /cmd:xxx” y “[ERROR]Please input ip. eg, /ip:xx.XXX.xx.x or /ip:xxx.com”, sugieren la participación de un equipo de desarrollo dedicado que está dejando instrucciones para un grupo separado de operadores.
Combinado con la presencia de muestras mimCN superpuestas en varias intrusiones atribuidas a grupos APT con nexos chinos y distribuidas a lo largo de los años, esto sugiere que mimCN es probablemente el producto de una entidad responsable de mantener y proveer herramientas a múltiples clústeres dentro del ecosistema APT chino.
Análisis de Atribución
Consideramos que la Operación OJO DE DIOS fue, con alta probabilidad, llevada a cabo por un clúster con nexos chinos con motivaciones de ciberespionaje.
El grupo específico responsable sigue sin estar claro debido al extenso intercambio de malware, manuales operativos y procesos de gestión de infraestructura entre los clústeres APT chinos.
La evaluación se basa en una consideración colectiva de múltiples indicadores, incluyendo el malware, la infraestructura y las técnicas utilizadas, la victimología y la temporalidad de las actividades.
Malware
Una variante de la webshell PHPsert contiene comentarios de código en chino simplificado.
Esto sugiere la posible participación de desarrolladores de habla china. Además, la modificación personalizada de Mimikatz bK2o.exe utilizada en la Operación OJO DE DIOS forma parte de la colección mimCN y comparte superposiciones de implementación con otras modificaciones personalizadas de Mimikatz, lo que sugiere un origen común.
Estas herramientas se han observado exclusivamente en el contexto de actividades APT sospechosas de origen chino, tales como la Operación “Soft Cell” y la Operación “Tainted Love”.
El malware y las herramientas utilizadas en estas operaciones han sido asociados con los grupos APT chinos sospechosos Granite Typhoon y APT41, y también se han sugerido posibles conexiones con otros grupos con nexos chinos, como APT10 y Lucky Mouse.
La colección de herramientas mimCN sugiere la presencia de un proveedor compartido o “intendente digital” responsable del desarrollo sostenido y el suministro de herramientas a grupos dentro del ecosistema APT chino. Se sospecha que esta función desempeña un papel significativo en el panorama de amenazas chino.
La filtración de I-Soon, que ofrece una visión poco común de las actividades de ciberespionaje de China, proporciona evidencia que respalda la existencia de “intendentes digitales” dentro de este panorama.
Infraestructura
Si bien no es exclusivo de los grupos APT chinos, el uso de la infraestructura M247, como se vio en la Operación OJO DE DIOS, ha sido común entre ellos en los últimos años. Un ejemplo es la infraestructura M247 atribuida al clúster chino sospechoso STORM-0866 (también conocido como Red Dev 40), con el cual se asocia el grupo APT Sandman.
Adicionalmente, el uso de servicios y recursos en la nube ubicados en proximidad geográfica a las organizaciones objetivo en la Operación OJO DE DIOS sugiere un enfoque de gestión de infraestructura cuidadosamente planificado y dirigido.
En este contexto, sospechamos la posible participación de entidades de terceros encargadas de administrar y proveer infraestructura, una práctica que se ha vuelto cada vez más común en el ecosistema APT chino en los últimos años.
Utilización Indebida de Visual Studio Code
Nuestra visibilidad de las actividades de los actores de amenaza sugiere que el uso indebido del túnel de Visual Studio Code con fines de C2 era relativamente raro en la naturaleza antes de la Operación OJO DE DIOS.
Investigaciones previas indican que, a partir de 2023, un grupo sospechoso de Corea del Norte ha utilizado Visual Studio Remote Tunnels para mantener la persistencia en redes comprometidas. Además, en octubre de 2024, Cyble publicó un informe documentando actividad sin atribuir en la que los actores de amenaza distribuyeron un archivo Windows Shortcut (LNK) para desplegar Visual Studio Code y activar su función de tunneling para establecer acceso remoto.
Al momento de escribir esto, el único uso divulgado públicamente de esta técnica alrededor del momento de la Operación OJO DE DIOS ha sido atribuido a un grupo APT chino sospechoso. En septiembre de 2024, Unit 42 publicó un informe sobre una campaña dirigida a entidades gubernamentales en el Sudeste Asiático, en la que los actores de amenaza utilizaron Visual Studio Code como puerta trasera. La campaña fue atribuida a Stately Taurus (también conocido como Mustang Panda).
La cronología exacta de la campaña no está clara, siendo mediados de agosto de 2024 el único punto de referencia mencionado explícitamente en el informe de Unit 42. Basándonos en esto, sospechamos que la Operación OJO DE DIOS ocurrió antes de esta actividad.
No observamos ninguna superposición en TTPs entre la Operación OJO DE DIOS y la actividad reportada por Unit 42, a excepción del uso indebido de Visual Studio Code. Reconocemos la posibilidad de que distintos clústeres APT chinos puedan compartir manuales operativos que incluyan el aprovechamiento de Visual Studio Code para fines de C2.
Análisis Temporal
Nuestro análisis de las marcas de tiempo que señalan las fechas y horas de la actividad del operador en las organizaciones objetivo mostró que todas las actividades ocurrieron en días laborables (de lunes a viernes).
Además, convertir las marcas de tiempo desde sus zonas horarias originales, Tiempo Universal Coordinado (UTC) y Horario de Verano de Europa Central (CEST, UTC+2), a Hora Estándar de China (CST, UTC+8) reveló que los operadores estuvieron principalmente activos durante las horas de trabajo típicas en China, mayormente entre las 9 a.m. y las 9 p.m. CST.
Esto sugiere una operación potencialmente sancionada por el estado. El horario de trabajo ‘996’ (de 9 a.m. a 9 p.m. CST, seis días a la semana) ha sido común en el sector tecnológico de China, pero fue declarado ilegal por el Tribunal Popular Supremo en 2021.
Como resultado, es casi seguro que los empleados estatales estén restringidos al trabajo entre semana, típicamente entre las 9 a.m. y las 9 p.m., lo que se alinea estrechamente con nuestras observaciones del análisis de las marcas de tiempo.
La figura a continuación muestra el número total de conexiones establecidas por los actores de amenaza a los túneles de Visual Studio Code a lo largo de la Operación OJO DE DIOS, desglosado por hora del día. Los datos se presentan tanto en la zona horaria original (CEST) como en la Hora Estándar de China (CST, CEST+6). Observamos actividad mínima o nula entre las 10 p.m. y las 9 a.m. CST, así como entre las 11 a.m. y la 1 p.m. CST, lo que se alinea con las horas de trabajo diarias típicas en China, incluyendo el descanso del almuerzo del mediodía.
Cantidad de conexiones establecidas a túneles de Visual Studio Code
Conclusiones
La Operación OJO de DIOS pone de manifiesto la amenaza persistente que representan los grupos chinos de ciberespionaje para las entidades europeas, con estos actores de amenaza continuando su enfoque en objetivos de alto valor.
La campaña subraya la naturaleza estratégica de esta amenaza, ya que vulnerar organizaciones que proveen datos, infraestructura y soluciones de ciberseguridad a otras industrias les otorga a los atacantes un punto de apoyo en la cadena de suministro digital, permitiéndoles extender su alcance a entidades aguas abajo.
El uso indebido de Visual Studio Code Remote Tunnels en esta campaña ilustra cómo los grupos APT chinos a menudo recurren a enfoques prácticos y orientados a la solución para eludir la detección.
Al aprovechar una herramienta e infraestructura de desarrollo confiables, los actores de amenaza buscaron disfrazar sus actividades maliciosas como legítimas.
La explotación de tecnologías ampliamente utilizadas, que los equipos de seguridad podrían no examinar con detenimiento, presenta un desafío creciente para las organizaciones. Para los defensores, esto exige una reevaluación de los enfoques de seguridad tradicionales y la implementación de mecanismos de detección robustos para identificar dichas técnicas evasivas en tiempo real.
Las capacidades de movimiento lateral observadas en la Operación OJO de DIOS, vinculadas a modificaciones personalizadas de Mimikatz utilizadas en campañas previas, indican la potencial participación de proveedores compartidos o “intendentes digitales” y la importante función que cumplen en el ecosistema APT chino.
Estas entidades centralizadas proporcionan continuidad y adaptabilidad a las operaciones de ciberespionaje, equipando a los actores de amenaza con herramientas constantemente actualizadas y tácticas en evolución a medida que apuntan a nuevas víctimas.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Iproov 2025: Eliminación de Amenazas de seguridad Basadas en la Identidad
Espía en WhatsApp: La seguridad bajo una Amenaza Silenciosa 2025
Envenenamiento de Modelo: tiene seguridad la AI 2025?
Lynx Ransomware 2025: como servicio eficaz
Fuente: SentinelLabs
ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios, ojo de dios,