Un grupo de ciberespionaje previamente indocumentado que opera desde Asia irrumpió en las redes de al menos 70 organizaciones gubernamentales y de infraestructura crítica en 37 países durante el año pasado, según nuevos hallazgos de la Unidad 42 de Palo Alto Networks.
Además, se ha observado que el equipo de piratas informáticos realizó reconocimiento activo contra la infraestructura gubernamental asociada con 155 países entre noviembre y diciembre de 2025. Algunas de las entidades que han sido comprometidas con éxito incluyen cinco entidades de aplicación de la ley/control fronterizo a nivel nacional, tres ministerios de finanzas y otros ministerios gubernamentales, y departamentos que se alinean con funciones económicas, comerciales, de recursos naturales y diplomáticas.
La empresa de ciberseguridad está rastreando la actividad bajo el nombre de TGR-STA-1030donde «TGR» significa grupo de amenaza temporal y «STA» se refiere a motivación respaldada por el estado. La evidencia muestra que el actor de amenazas ha estado activo desde enero de 2024.
Si bien el país de origen de los piratas informáticos aún no está claro, se considera que son de origen asiático, dado el uso de herramientas y servicios regionales, las preferencias de configuración de idioma, la orientación consistente con eventos e inteligencia de interés para la región y su horario de operación GMT+8.
Se ha descubierto que las cadenas de ataque aprovechan los correos electrónicos de phishing como punto de partida para engañar a los destinatarios para que hagan clic en un enlace que apunta al servicio de alojamiento de archivos MEGA, con sede en Nueva Zelanda. El enlace aloja un archivo ZIP que contiene un ejecutable denominado Diaoyu Loader y un archivo de cero bytes llamado «pic1.png».
«El malware emplea una barrera de ejecución de dos etapas para frustrar el análisis automatizado de la zona de pruebas», dijo la Unidad 42. «Más allá del requisito de hardware de una resolución de pantalla horizontal mayor o igual a 1440, la muestra realiza una verificación de dependencia ambiental para un archivo específico (pic1.png) en su directorio de ejecución».
La imagen PNG actúa como una verificación de integridad basada en archivos que hace que el artefacto de malware finalice antes de desencadenar su comportamiento nefasto en caso de que no esté presente en la misma ubicación. Sólo después de que se cumple esta condición, el malware comprueba la presencia de programas de ciberseguridad específicos de Avira («SentryEye.exe»), Bitdefender («EPSecurityService.exe»), Kaspersky («Avp.exe»), Sentinel One («SentinelUI.exe») y Symantec («NortonSecurity.exe»).
 |
| Países objetivo del reconocimiento TGR-STA-1030 entre noviembre y diciembre de 2025 |
Actualmente no se sabe por qué los actores de amenazas han optado por buscar sólo una selección limitada de productos. El objetivo final del cargador es descargar tres imágenes («admin-bar-sprite.png», «Linux.jpg» y «Windows.jpg») de un repositorio de GitHub llamado «WordPress», que sirven como conducto para la implementación de una carga útil de Cobalt Strike. La cuenta de GitHub asociada («github(.)com/padeqav») ya no está disponible.
También se ha observado que TGR-STA-1030 intenta explotar varios tipos de vulnerabilidades de día N que afectan a una gran cantidad de productos de software de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault y Eyou Email System para obtener acceso inicial a las redes de destino. No hay evidencia que indique que el grupo haya desarrollado o aprovechado algún exploit de día cero en sus ataques.
Entre las herramientas utilizadas por el actor de amenazas se encuentran marcos de comando y control (C2), shells web y utilidades de tunelización.
Vale la pena señalar que el uso de los web shells mencionados anteriormente está frecuentemente vinculado a grupos de hackers chinos. Otra herramienta a destacar es un rootkit del kernel de Linux con nombre en código ShadowGuard que utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para ocultar detalles de información de procesos, interceptar llamadas críticas al sistema para ocultar procesos específicos de herramientas de análisis del espacio de usuario como ps y ocultar directorios y archivos llamados «swsecret».
«El grupo alquila y configura habitualmente sus servidores C2 en infraestructura propiedad de una variedad de proveedores VPS legítimos y comúnmente conocidos», dijo la Unidad 42. «Para conectarse a la infraestructura C2, el grupo alquila infraestructura VPS adicional que utiliza para transmitir el tráfico».
El proveedor de ciberseguridad dijo que el adversario logró mantener el acceso a varias de las entidades afectadas durante meses, lo que indica esfuerzos para recopilar inteligencia durante largos períodos de tiempo.
«TGR-STA-1030 sigue siendo una amenaza activa para el gobierno y la infraestructura crítica en todo el mundo. El grupo apunta principalmente a ministerios y departamentos gubernamentales con fines de espionaje», concluyó. «Evaluamos que prioriza los esfuerzos contra países que han establecido o están explorando ciertas asociaciones económicas».
«Si bien este grupo podría estar persiguiendo objetivos de espionaje, sus métodos, objetivos y escala de operaciones son alarmantes, con posibles consecuencias a largo plazo para la seguridad nacional y los servicios clave».