{"id":6548,"date":"2025-03-05T12:15:29","date_gmt":"2025-03-05T15:15:29","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=6548"},"modified":"2025-03-07T13:34:00","modified_gmt":"2025-03-07T16:34:00","slug":"ojo-de-dios-0001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/ojo-de-dios-0001\/","title":{"rendered":"Ojo de Dios: una operaci\u00f3n que interpela la seguridad 2025"},"content":{"rendered":"
\n
\n

Operaci\u00f3n “Ojo de Dios”: Infiltraci\u00f3n de APT de Origen Chino en Infraestructuras Cr\u00edticas mediante T\u00faneles de Visual Studio Code<\/strong><\/h2>\n

<\/h3>\n

Contexto y Alcance del Compromiso con el Ojo de Dios<\/strong><\/h3>\n

Entre fines de junio y mediados de julio de 2024, un presunto agente de amenazas vinculado a intereses chinos despleg\u00f3 una campa\u00f1a de intrusi\u00f3n dirigida contra proveedores de servicios tecnol\u00f3gicos empresariales (B2B) de gran escala en el sur de Europa.<\/p>\n

Este grupo de actividades operativas, identificado bajo el nombre en clave\u00a0Operaci\u00f3n “Ojo de Dios”<\/em>, exhibi\u00f3 t\u00e1cticas orientadas a establecer accesos privilegiados en infraestructuras digitales cr\u00edticas, con el potencial de comprometer entidades dependientes mediante vectores de propagaci\u00f3n descendente.<\/p>\n

La intervenci\u00f3n coordinada de SentinelLabs y Tinexta Cyber logr\u00f3 detectar e interrumpir estas operaciones en su fase incipiente, mitigando su alcance.<\/p>\n

Metodolog\u00eda y Herramientas de Propagaci\u00f3n<\/strong><\/h3>\n

El adversario emple\u00f3 t\u00e9cnicas de movimiento lateral que sugieren la participaci\u00f3n de un proveedor compartido o\u00a0cuartelero digital<\/em>\u00a0\u2014entidad encargada del desarrollo, mantenimiento y distribuci\u00f3n de herramientas ofensivas dentro del ecosistema de APT chinas\u2014.<\/p>\n

Como elemento distintivo, se document\u00f3 el abuso de las funcionalidades de\u00a0Visual Studio Code<\/em>\u00a0<\/strong>y de la infraestructura de Microsoft Azure para establecer canales de comando y control (C2).<\/p>\n

Este modus operandi buscaba mimetizar actividades maliciosas como leg\u00edtimas operaciones de desarrollo, evadiendo as\u00ed mecanismos de detecci\u00f3n convencionales.<\/p>\n

Relevancia T\u00e9cnica e Implicancias Estrat\u00e9gicas<\/strong><\/h3>\n

Cabe destacar que la explotaci\u00f3n de\u00a0Visual Studio Code<\/em>\u00a0con fines de C2 constituye una innovaci\u00f3n t\u00e1ctica de notable rareza en el panorama de amenazas globales previo a esta campa\u00f1a.<\/p>\n

La\u00a0Operaci\u00f3n “Ojo de Dios”<\/em>\u00a0representa, seg\u00fan nuestros registros, el primer caso documentado en que un grupo de APT asociado a China utiliza este m\u00e9todo de manera operativa. Este hallazgo no solo subraya la adaptabilidad t\u00e9cnica de estos actores, sino tambi\u00e9n su capacidad para instrumentalizar herramientas cotidianas del \u00e1mbito tecnol\u00f3gico en aras de operaciones de alto impacto estrat\u00e9gico.<\/p>\n

Nota de investigaci\u00f3n: Los datos anal\u00edticos proceden de observaciones directas y an\u00e1lisis forenses realizados durante la intervenci\u00f3n inicial.<\/em><\/p>\n<\/div>\n<\/div>\n

\n

Panorama General<\/strong><\/h3>\n

Tinexta Cyber<\/a> y SentinelLabs han monitoreado actividades de amenazas dirigidas a proveedores de servicios tecnol\u00f3gicos empresariales (B2B) en el sur de Europa.<\/p>\n

A partir del an\u00e1lisis del\u00a0malware<\/em>, la infraestructura empleada, las t\u00e9cnicas identificadas, la victimolog\u00eda y la temporalidad de las operaciones, evaluamos con alto grado de certeza que estos ataques fueron perpetrados por un actor de amenazas vinculado a China, con motivaciones asociadas al ciberespionaje.<\/p>\n

Geopol\u00edtica y Contexto Operativo<\/strong>
\nLas relaciones entre los pa\u00edses europeos y China se enmarcan en una din\u00e1mica de cooperaci\u00f3n estrat\u00e9gica, competencia tecnol\u00f3gica y tensiones subyacentes en \u00e1reas como comercio, inversi\u00f3n y desarrollo de infraestructuras cr\u00edticas.<\/p>\n

Grupos de ciberespionaje presuntamente asociados a intereses chinos han focalizado de manera recurrente a organizaciones p\u00fablicas y privadas en Europa, con el objetivo de recopilar inteligencia estrat\u00e9gica, consolidar ventajas competitivas y promover agendas geopol\u00edticas, econ\u00f3micas y tecnol\u00f3gicas.<\/p>\n

La campa\u00f1a, designada como\u00a0Operaci\u00f3n “Ojo de Dios”<\/em>, se desarroll\u00f3 entre fines de junio y mediados de julio de 2024, abarcando aproximadamente tres semanas.<\/p>\n

Las entidades atacadas se especializan en soluciones de gesti\u00f3n de datos, infraestructuras digitales y ciberseguridad para clientes de m\u00faltiples industrias, lo que las convierte en blancos prioritarios para actores dedicados al espionaje cibern\u00e9tico.<\/p>\n

Una presencia prolongada en estas organizaciones habr\u00eda permitido a los operadores de\u00a0“Ojo de Dios”<\/em>\u00a0establecer una posici\u00f3n estrat\u00e9gica, facilitando intrusiones transversales en la cadena de suministro digital y el control de procesos cr\u00edticos en entidades dependientes.<\/p>\n

Las actividades fueron detectadas y neutralizadas en etapas tempranas, limitando su escalada.<\/p>\n

Atribuci\u00f3n y Herramientas Especializadas<\/strong><\/h3>\n

La identificaci\u00f3n del grupo responsable de\u00a0“Ojo de Dios”<\/em>\u00a0se ve obstaculizada por la circulaci\u00f3n extensiva de\u00a0malware<\/em>, manuales operativos y protocolos de gesti\u00f3n de infraestructura dentro del ecosistema de amenazas chino.<\/p>\n

Los atacantes emplearon una capacidad de\u00a0pass-the-hash<\/em>\u00a0\u2014t\u00e9cnica que, seg\u00fan evidencias, proviene de modificaciones cerradas de Mimikatz (denominadas\u00a0mimCN<\/em>) observadas exclusivamente en operaciones de ciberespionaje atribuidas a China, como la\u00a0Operaci\u00f3n Soft Cell<\/em>\u00a0y la\u00a0Operaci\u00f3n Tainted Love<\/em>.<\/p>\n

Estas herramientas han sido vinculadas a m\u00faltiples grupos de APT chinos, lo que sugiere un repertorio t\u00e9cnico compartido.<\/p>\n

La evoluci\u00f3n a largo plazo de las variantes de\u00a0mimCN<\/em>, junto a caracter\u00edsticas distintivas como instrucciones destinadas a equipos operativos externos, apuntan a la participaci\u00f3n de un\u00a0cuartelero digital<\/em>: un proveedor compartido encargado del mantenimiento activo y distribuci\u00f3n de herramientas ofensivas.<\/p>\n

Esta funci\u00f3n, corroborada por la filtraci\u00f3n de\u00a0I-Soon<\/em>, desempe\u00f1a un rol clave en la estructura operativa del ecosistema de APT chino, facilitando campa\u00f1as de alcance global.<\/p>\n

Innovaci\u00f3n T\u00e1ctica: Abuso de Visual Studio Code<\/strong>
\nEl eje central de la campa\u00f1a radica en la explotaci\u00f3n de los\u00a0T\u00faneles Remotos de Visual Studio Code<\/em>\u00a0para prop\u00f3sitos de Comando y Control (C2).<\/p>\n

Dise\u00f1ada originalmente para desarrollo remoto, esta tecnolog\u00eda permite acceso total al endpoint, incluyendo ejecuci\u00f3n de comandos y manipulaci\u00f3n del sistema de archivos. Adem\u00e1s, los t\u00faneles utilizan ejecutables firmados por Microsoft y se alojan en infraestructura de Azure, elementos que suelen eludir controles de aplicaci\u00f3n y reglas de firewall debido a su apariencia leg\u00edtima.<\/p>\n

Esta combinaci\u00f3n de acceso privilegiado y evasi\u00f3n de defensas convierte a los t\u00faneles en un recurso atractivo y poderoso para actores maliciosos.<\/p>\n

Colaboraci\u00f3n y Medidas Correctivas<\/strong><\/h3>\n

Tinexta Cyber y SentinelLabs han notificado a Microsoft sobre el uso malicioso de Visual Studio Code y Azure en el marco de\u00a0“Ojo de Dios”<\/em>. Esta colaboraci\u00f3n subraya la necesidad de vigilancia proactiva ante la instrumentalizaci\u00f3n de herramientas leg\u00edtimas en operaciones de alto impacto, as\u00ed como la urgencia de fortalecer mecanismos de detecci\u00f3n en entornos de desarrollo y cloud.<\/p>\n

Vector de Infecci\u00f3n y Progresi\u00f3n del Ataque<\/strong><\/h3>\n

Los atacantes emplearon\u00a0inyecci\u00f3n SQL<\/em>\u00a0como vector de acceso inicial para infiltrar servidores web y de bases de datos expuestos a Internet. Los registros de tr\u00e1fico analizados revelan que utilizaron la herramienta\u00a0sqlmap<\/em>\u00a0para automatizar la detecci\u00f3n y explotaci\u00f3n de vulnerabilidades de inyecci\u00f3n, identificable en las cabeceras\u00a0User-Agent<\/em>\u00a0de las solicitudes maliciosas.<\/p>\n

Establecimiento de Persistencia y Ejecuci\u00f3n de C\u00f3digo<\/strong><\/h3>\n

Tras la infiltraci\u00f3n, los actores desplegaron un\u00a0webshell<\/em>\u00a0basado en PHP, denominado\u00a0PHPsert<\/strong>\u00a0por nuestros equipos.<\/p>\n

De dise\u00f1o minimalista, este artefacto aprovecha la funci\u00f3n\u00a0assert<\/code>\u00a0de PHP para ejecutar c\u00f3digo arbitrario suministrado por los atacantes. Su arquitectura no coincide con ning\u00fan\u00a0webshell<\/em>\u00a0conocido previamente, lo que sugiere un desarrollo ad hoc.<\/p>\n

Para evadir detecciones basadas en nombres de archivo, los operadores personalizaron las denominaciones de los scripts seg\u00fan el entorno comprometido, utilizando t\u00e9rminos t\u00e9cnicos y l\u00e9xico local que mimetizaban archivos leg\u00edtimos del sistema.<\/p>\n

Reconocimiento y Exfiltraci\u00f3n de Credenciales<\/strong><\/h3>\n

Una vez establecida la presencia inicial, los atacantes realizaron actividades de reconocimiento mediante herramientas de terceros y utilidades nativas de Windows, como\u00a0GetUserInfo<\/code>\u00a0y\u00a0ping<\/code>.<\/p>\n

Adicionalmente, desplegaron\u00a0local.exe<\/code>\u00a0\u2014perteneciente al\u00a0Microsoft Windows NT Resource Kit<\/em>\u2014 para mapear membres\u00edas de grupos de usuarios.<\/p>\n

La fase de robo de credenciales incluy\u00f3 dos m\u00e9todos clave:<\/p>\n

    \n
  1. Extracci\u00f3n de memoria del proceso LSASS<\/strong>\u00a0mediante\u00a0CreateDump<\/code>, herramienta incluida en la distribuci\u00f3n del\u00a0Microsoft .NET Framework<\/em>, para exfiltrar datos sensibles.<\/li>\n
  2. Acceso al registro SAM<\/strong>\u00a0a trav\u00e9s del comando\u00a0reg save<\/code>, permitiendo la recuperaci\u00f3n de hashes de contrase\u00f1as almacestadas en el registro de Windows.<\/li>\n<\/ol>\n

    Los archivos maliciosos segu\u00edan un patr\u00f3n nominativo\u00a0do.*<\/code>, con ejemplos como\u00a0do.log<\/code>\u00a0(resultados de\u00a0ping<\/code>),\u00a0do.exe<\/code>\u00a0(instancia de\u00a0CreateDump<\/code>) y\u00a0do.bat<\/code>\u00a0(script de ejecuci\u00f3n autodestructiva), estrategia que buscaba confundir an\u00e1lisis superficiales.<\/p>\n

    Movimiento Lateral y T\u00e9cnicas de Evasi\u00f3n<\/strong><\/h3>\n

    Desde los puntos de acceso iniciales, los atacantes avanzaron lateralmente por la red interna utilizando conexiones RDP (Remote Desktop Protocol<\/em>) y t\u00e9cnicas\u00a0pass-the-hash<\/em>.<\/p>\n

    Para estas \u00faltimas, emplearon una versi\u00f3n modificada de Mimikatz \u2014identificada como\u00a0bK2o.exe<\/code>\u2014, vinculada a las variantes\u00a0mimCN<\/em>\u00a0documentadas en operaciones previas de ciberespionaje chino.<\/p>\n

    Adem\u00e1s del\u00a0webshell<\/em>\u00a0PHPsert, los operadores implementaron dos m\u00e9todos alternos de ejecuci\u00f3n remota:<\/p>\n

      \n
    • Acceso SSH<\/strong>: Mediante la implantaci\u00f3n de archivos\u00a0authorized_keys<\/code>\u00a0con claves p\u00fablicas controladas por los atacantes.<\/li>\n
    • T\u00faneles de Visual Studio Code<\/strong>: Aprovechando la tecnolog\u00eda\u00a0dev tunnel<\/em>\u00a0de Microsoft para establecer backdoors persistentes con acceso completo a terminales y sistemas de archivos.<\/li>\n<\/ul>\n

      Estrategias de Ofuscaci\u00f3n y Alojamiento<\/strong><\/h3>\n

      Para enmascarar sus actividades, los atacantes utilizaron principalmente dos directorios:<\/p>\n

        \n
      • %SystemRoot%\\Temp<\/code>: Ubicaci\u00f3n est\u00e1ndar de archivos temporales en Windows, com\u00fanmente submonitoreada.<\/li>\n
      • %ProgramData%\\Visual Studio Code<\/code>: Ruta asociada leg\u00edtimamente al IDE, elegida para simular operaciones de desarrollo rutinarias.<\/li>\n<\/ul>\n

        Interrupci\u00f3n Temprana y Consecuencias Mitigadas<\/strong>
        \nLas intrusiones fueron neutralizadas por SentinelLabs y Tinexta Cyber durante fases iniciales, impidiendo que los atacantes alcanzaran etapas avanzadas como exfiltraci\u00f3n masiva de datos o escalada de privilegios sostenida.<\/p>\n

        Este \u00e9xito operativo subraya la importancia de la detecci\u00f3n proactiva en entornos donde herramientas leg\u00edtimas son explotadas para fines maliciosos.<\/p>\n

        Utilizaci\u00f3n Indebida de Visual Studio Code<\/span><\/h2>\n

        Los actores de amenaza desplegaron un ejecutable port\u00e1til de Visual Studio Code, denominado\u00a0<\/span>code.exe<\/span>, el cual se encuentra firmado digitalmente por Microsoft, y para operarlo como un servicio de Windows, utilizaron la herramienta\u00a0<\/span>winsw<\/span>. <\/span><\/p>\n

        El archivo de configuraci\u00f3n de\u00a0<\/span>winsw<\/span>\u00a0que obtuvimos nos da la pauta de que los atacantes generaron un servicio llamado “Visual Studio Code Service”, que ejecuta\u00a0<\/span>code.exe<\/span>\u00a0con el par\u00e1metro de l\u00ednea de comandos\u00a0<\/span>tunnel<\/span>\u00a0cada vez que arranca el sistema.<\/span><\/p>\n

        El archivo de configuraci\u00f3n deja al descubierto una t\u00e1ctica pragm\u00e1tica por parte de los actores de amenaza, quienes, con alta probabilidad, le hicieron modificaciones a una configuraci\u00f3n de\u00a0<\/span>winsw<\/span>\u00a0que estaba a disposici\u00f3n del p\u00fablico. <\/span><\/p>\n

        Esta presunci\u00f3n se basa en el empleo del identificador de servicio\u00a0<\/span>myapp<\/span>\u00a0y el directorio\u00a0<\/span>%BASE%\\logs<\/span>\u00a0para guardar los archivos de registro de\u00a0<\/span>winsw<\/span>, ambos elementos que tambi\u00e9n se encuentran en la configuraci\u00f3n p\u00fablica, as\u00ed como en la que logramos recuperar.<\/span><\/p>\n

        \"winsw
        \n

        Archivo de Configuraci\u00f3n de winsw<\/span><\/strong><\/p>\n

        El par\u00e1metro\u00a0<\/span>tunnel<\/span>\u00a0le indica a Visual Studio Code que genere un t\u00fanel de desarrollo y act\u00fae como un servidor al cual usuarios remotos pueden conectarse. <\/span><\/p>\n

        Luego de\u00a0<\/span>autenticarse<\/span><\/strong>\u00a0al t\u00fanel con una cuenta de Microsoft o GitHub, los usuarios remotos pueden acceder al punto final que est\u00e1 ejecutando el servidor de Visual Studio Code, ya sea mediante la aplicaci\u00f3n de escritorio de Visual Studio Code o la versi\u00f3n basada en navegador,\u00a0<\/span>vscode.dev<\/span>.<\/span><\/p>\n

        Despu\u00e9s de generar los t\u00faneles de desarrollo, los actores de amenaza se autenticaron utilizando cuentas de GitHub y accedieron a los puntos finales comprometidos a trav\u00e9s de la versi\u00f3n de Visual Studio Code basada en navegador. <\/span><\/p>\n

        No tenemos conocimiento de si los actores de amenaza utilizaron cuentas de GitHub auto-registradas o comprometidas para autenticarse a los t\u00faneles.<\/span><\/p>\n

        Infraestructura de Red<\/span><\/h2>\n

        Los actores de la Operaci\u00f3n OJO DE DIOS utilizaron infraestructura ubicada exclusivamente dentro de Europa, proveniente del proveedor M247 y la plataforma en la nube Microsoft Azure. <\/span><\/p>\n

        Esto probablemente form\u00f3 parte de una estrategia deliberada. Dado que las organizaciones objetivo tienen su sede y operan dentro de Europa, los atacantes podr\u00edan haber buscado minimizar sospechas alineando la ubicaci\u00f3n de su infraestructura con la de sus objetivos. <\/span><\/p>\n

        Adem\u00e1s, la infraestructura en la nube que se utiliza com\u00fanmente en flujos de trabajo leg\u00edtimos de TI, como Microsoft Azure, a menudo no se monitorea de cerca y frecuentemente se permite a trav\u00e9s de restricciones de firewall. <\/span><\/p>\n

        Al aprovechar la infraestructura de nube p\u00fablica para fines maliciosos, los atacantes lograron que el tr\u00e1fico pareciera leg\u00edtimo, lo cual puede ser dif\u00edcil de detectar y podr\u00eda evadir las defensas de seguridad.<\/span><\/p>\n

        En las fases iniciales de los ataques, los actores de amenaza utilizaron el servidor con direcci\u00f3n IP\u00a0<\/span>146.70.161[.]78<\/span>\u00a0para establecer el acceso inicial detectando y explotando vulnerabilidades de inyecci\u00f3n SQL, y el servidor con direcci\u00f3n IP\u00a0<\/span>185.76.78[.]117<\/span>\u00a0para operar la webshell PHPsert. Ambas direcciones IP est\u00e1n asignadas al proveedor de infraestructura M247 y est\u00e1n ubicadas en Polonia e Italia, respectivamente.<\/span><\/p>\n

        En las fases posteriores de los ataques, los actores de amenaza utilizaron el servidor con direcci\u00f3n IP\u00a0<\/span>4.232.170[.]137<\/span>\u00a0con fines de C2 al acceder remotamente a los puntos finales comprometidos a trav\u00e9s del protocolo SSH. Este servidor forma parte de la infraestructura Azure de Microsoft en la regi\u00f3n del centro de datos\u00a0<\/span>Italia del Norte<\/span><\/strong>\u00a0(rango de IP de Azure:\u00a0<\/span>4.232.128[.]0\/18<\/span>, etiqueta de servicio:\u00a0<\/span>AzureCloud.italynorth<\/span>). <\/span><\/p>\n

        Actualmente no tenemos informaci\u00f3n sobre si los actores de amenaza utilizaron credenciales de Azure auto-registradas o comprometidas para acceder y administrar los recursos y servicios de Azure.<\/span><\/p>\n

        El uso indebido del t\u00fanel de Visual Studio Code para fines de C2 tambi\u00e9n se basa en la infraestructura de Microsoft Azure. <\/span><\/p>\n

        Crear y alojar un t\u00fanel de desarrollo requiere conectarse a un servidor de Microsoft Azure con un dominio de\u00a0<\/span>*.[clusterID].devtunnels.ms<\/span>, donde\u00a0<\/span>[clusterID]<\/span>\u00a0corresponde a la regi\u00f3n de Azure del punto final que ejecuta el servidor de Visual Studio Code, como\u00a0<\/span>euw<\/span>\u00a0para\u00a0<\/span>Europa Occidental<\/span><\/strong>. <\/span><\/p>\n

        En la Operaci\u00f3n OJO DE DIOS, la creaci\u00f3n de t\u00faneles de desarrollo implic\u00f3 el establecimiento de conexiones con el servidor con el dominio\u00a0<\/span>[REDACTADO].euw.devtunnels[.]ms<\/span>, que se resolvi\u00f3 a la direcci\u00f3n IP\u00a0<\/span>20.103.221[.]187<\/span>. <\/span><\/p>\n

        Este servidor forma parte de la infraestructura Azure de Microsoft en la regi\u00f3n del centro de datos\u00a0<\/span>Europa Occidental<\/span><\/strong>\u00a0(rango de IP de Azure:\u00a0<\/span>20.103.0[.]0\/16<\/span>, etiqueta de servicio:\u00a0<\/span>AzureCloud.westeurope<\/span>).<\/span><\/p>\n<\/figcaption><\/figure>\n

        La Webshell PHPsert<\/span><\/h2>\n

        PHPsert ejecuta c\u00f3digo PHP proporcionado por el atacante utilizando la funci\u00f3n\u00a0<\/span>assert<\/span>, la cual, en versiones de PHP anteriores a la 8.0.0, interpreta y ejecuta cadenas de par\u00e1metros como c\u00f3digo PHP. <\/span><\/p>\n

        Para dificultar el an\u00e1lisis est\u00e1tico y eludir la detecci\u00f3n, la webshell emplea diversas t\u00e9cnicas de ofuscaci\u00f3n de c\u00f3digo, incluyendo codificaci\u00f3n XOR, representaci\u00f3n de caracteres hexadecimales, concatenaci\u00f3n de cadenas, y nombres de variables aleatorios.<\/span><\/p>\n

        \"PHPsert
        PHPsert implementation<\/figcaption><\/figure>\n

        Funcionamiento de la Webshell PHPsert<\/span><\/h2>\n

        La webshell PHPsert opera de la siguiente manera:<\/span><\/p>\n

        PHPsert instancia una clase con un \u00fanico m\u00e9todo regular, que descodifica mediante XOR y concatena caracteres hexadecimales para generar la cadena\u00a0<\/span>assert<\/span>. <\/span><\/p>\n

        El destructor de la clase (el m\u00e9todo m\u00e1gico\u00a0<\/span>__destruct<\/span>) utiliza esta cadena para invocar la funci\u00f3n\u00a0<\/span>assert<\/span>, pasando c\u00f3digo PHP proporcionado por el atacante como par\u00e1metro.<\/span><\/p>\n

        La webshell recupera el c\u00f3digo PHP proporcionado por el atacante desde un par\u00e1metro de solicitud HTTP POST, por ejemplo,\u00a0<\/span>momomomo<\/span>. <\/span><\/p>\n

        Si el par\u00e1metro\u00a0<\/span>id<\/span>\u00a0est\u00e1 presente en la URL de la solicitud, PHPsert decodifica el valor codificado en Base64 del par\u00e1metro POST. Si el par\u00e1metro\u00a0<\/span>id<\/span>\u00a0est\u00e1 ausente, la webshell utiliza el valor en bruto del par\u00e1metro.<\/span><\/p>\n

        Finalmente, cuando PHPsert termina de ejecutarse, se invoca el destructor de la clase, que a su vez llama a la funci\u00f3n\u00a0<\/span>assert<\/span>\u00a0para ejecutar el c\u00f3digo PHP proporcionado por el atacante.<\/span><\/p>\n

        Identificamos m\u00faltiples variantes de PHPsert, las cuales han sido enviadas a plataformas de intercambio de malware desde mayo de 2023, provenientes de diversas ubicaciones incluyendo Jap\u00f3n, Singapur, Per\u00fa, Taiw\u00e1n, Ir\u00e1n, Corea y Filipinas. <\/span><\/p>\n

        Estas variantes muestran solo diferencias menores en su implementaci\u00f3n, tales como nombres de variables distintos y par\u00e1metros de solicitud POST como\u00a0<\/span>mr6<\/span>,\u00a0<\/span>brute<\/span>, y\u00a0<\/span>qq<\/span>. <\/span><\/p>\n

        Nuestro an\u00e1lisis sugiere que PHPsert se despliega no solo como un archivo PHP independiente, sino que tambi\u00e9n se integra en diversos tipos de contenido web, incluyendo editores de texto web y gestores de contenido.<\/span><\/p>\n

        Una de las variantes de PHPsert contiene fragmentos de c\u00f3digo comentados y comentarios en chino simplificado que describen c\u00f3digo cercano. Estos comentarios y fragmentos no est\u00e1n presentes en las versiones de PHPsert observadas en la Operaci\u00f3n OJO DE DIOS, ni en ninguna de las otras variantes de la webshell. <\/span><\/p>\n

        A continuaci\u00f3n se presentan los comentarios de c\u00f3digo, todos los cuales han sido traducidos autom\u00e1ticamente del chino simplificado:<\/span><\/p>\n

        \u7ed3\u679c\u662f”assert”<\/span>\u00a0, que se traduce como “El resultado es ‘assert'”.<\/span><\/p>\n

        \u9a8c\u8bc1 $this->rg \u662f\u5426\u5b89\u5168<\/span>\u00a0, que se traduce como “Verificar si\u00a0<\/span>$this->rg<\/span>\u00a0es seguro”.<\/span><\/p>\n

        \u9a8c\u8bc1\u548c\u6e05\u7406\u7528\u6237\u8f93\u5165<\/span>\u00a0, que se traduce como “Validar y sanear la entrada del usuario”.<\/span><\/p>\n

        \"\"
        \n\"\"<\/p>\n

        \"PHPsert
        \n

        Fragmentos de C\u00f3digo PHPsert con Comentarios en Chino<\/span><\/p>\n

        La presencia de estos comentarios, junto con los indicios de c\u00f3digo eliminado a lo largo de las variantes de PHPsert, sugiere la potencial participaci\u00f3n de desarrolladores de habla china que podr\u00edan haber estado simplificando la l\u00f3gica de ejecuci\u00f3n de la webshell.<\/span><\/p>\n

        Capacidad de “Pass-the-Hash”<\/span><\/h2>\n

        El ejecutable\u00a0<\/span>bK2o.exe<\/span>\u00a0(una versi\u00f3n modificada y personalizada de Mimikatz utilizada en la Operaci\u00f3n OJO DE DIOS para ataques de “pass-the-hash”) permite la ejecuci\u00f3n de procesos dentro del contexto de seguridad de un usuario, aprovechando un hash de contrase\u00f1a NTLM comprometido, y evitando la necesidad de la contrase\u00f1a real del usuario. <\/span><\/p>\n

        Para lograr esto,\u00a0<\/span>bK2o.exe<\/span>\u00a0sobreescribe la memoria del proceso LSASS. La herramienta soporta los siguientes par\u00e1metros de l\u00ednea de comandos:<\/span><\/p>\n