Un actor de amenaza persistente avanzada (APT) de habla china ha sido vinculado a una nueva puerta trasera personalizada llamada TinyRCT como parte de ataques cibernéticos dirigidos a entidades gubernamentales e infraestructura crítica en el sudeste asiático.
La actividad, particularmente dirigida a empresas estatales en los sectores energético y gubernamental, ha sido atribuida a un actor de amenazas llamado CL-STA-1062que según la Unidad 42 de Palo Alto Networks comparte se superpone con UAT-7237, un grupo de piratería que fue señalado por primera vez por Cisco Talos en agosto de 2025 en relación con una campaña dirigida contra entidades de infraestructura web en Taiwán.
La Unidad 42 dijo que también observó campañas CL-STA-1062 en operaciones anteriores dirigidas a sectores estratégicos en el este de Asia desde marzo de 2022, lo que sugiere un enfoque más amplio pero sostenido en la región.
“Desde un punto de vista técnico, los atacantes detrás de CL-STA-1062 se basan en un conjunto de herramientas híbrido”, dijo la Unidad 42 en un informe técnico. “Si bien utilizan con frecuencia herramientas comunes de código abierto como SoftEther VPN, Mimikatz y VNT, recientemente introdujeron TinyRCT, una puerta trasera hecha a medida y que antes no estaba documentada”.
TinyRCT está equipado para ejecutar comandos arbitrarios, enumerar archivos y filtrarlos, capturar la pantalla del dispositivo y eliminarse del host comprometido.
En una campaña detectada en septiembre de 2025, se dice que el actor de amenazas se infiltró en una entidad gubernamental del sudeste asiático y desplegó un shell web para extraer datos de un servidor MS SQL. Durante el mismo ataque, se descubrió que los actores de la amenaza realizaban reconocimiento de red en una entidad gubernamental separada en el mismo país.
“Esto sugiere un esfuerzo para identificar oportunidades de movimiento lateral y ampliar su acceso. En un caso, observamos al atacante organizar y exfiltrar un directorio completo de código fuente del servidor web de la entidad gubernamental”, dijo la Unidad 42, agregando que detectó la violación de al menos 10 organizaciones diferentes en el sudeste asiático entre octubre y diciembre de 2025.
Desde al menos mediados de 2025, CL-STA-1062 ha centrado su mirada en la infraestructura crítica, con el adversario escaneando múltiples entidades en la región en busca de vulnerabilidades y luego estableciendo un punto de apoyo a través de shells web ASPX que facilitan el reconocimiento inicial y las solicitudes salientes de las redes infectadas a la infraestructura controlada por el atacante, lo que lleva al despliegue de cargas útiles adicionales.
Esto incluye componentes SoftEther VPN y archivos RAR que contienen el conjunto de herramientas del grupo, incluidas utilidades de código abierto como Yuze (un proxy SOCKS5) y VNT (una VPN), a menudo disfrazándolos como ejecutables de VMware o un agente XDR (por ejemplo, “XDRAgent.exe”, “vmtools.exe” y “vmwared.exe”).
Un análisis más profundo de la infraestructura de la campaña ha llevado al descubrimiento de una puerta trasera .NET no documentada anteriormente denominada TinyRCT (“PerfWatson2.exe”), un troyano ligero de acceso remoto que permite el reconocimiento del sistema, la ejecución de comandos, la carga de archivos, la captura de capturas de pantalla, el control remoto y el borrado de rastros de sí mismo, mientras toma medidas para evitar la ejecución en entornos aislados.
Establece un canal de comunicación persistente con un servidor remoto (“45.32.113(.)172”) a través de HTTP, pero cifra los datos intercambiados utilizando cifrado AES-128 en modo CBC.
“El malware opera en un modelo de baliza, con un intervalo de suspensión predeterminado de 10 segundos entre solicitudes”, explicó la Unidad 42. “Sondea el servidor C2 en busca de instrucciones mediante solicitudes GET, mientras envía datos exfiltrados mediante solicitudes POST”.
En cuanto a cómo se entrega TinyRCT, toma la forma de un archivo malicioso llamado “chrome_setup.zip” que contiene un ejecutable legítimo (“chrome_setup.exe”), un archivo de configuración (“chrome_setup.exe.config”) y una DLL maliciosa (“MyAppDomainManager.dll”) que se utiliza para desencadenar un ataque de inyección de AppDomainManager para cargar la DLL maliciosa, que funciona como un descargador contactando “139.180.134(.)221” para recuperar “PerfWatson2.exe”.
“La combinación de herramientas observada en este grupo de actividades refleja un enfoque pragmático en la selección de herramientas y capacidades de ataque”, concluyó la Unidad 42. “Los atacantes detrás de este grupo continúan aprovechando herramientas comunes de código abierto como SoftEther VPN y VNT para facilitar el movimiento lateral”.
“Nuestro descubrimiento de la puerta trasera TinyRCT en la infraestructura de los atacantes subraya su capacidad de personalizar herramientas para obtener capacidades específicas. La combinación de apuntar a la infraestructura crítica y el desarrollo de malware personalizado sugiere que la actividad CL-STA-1062 seguirá representando una amenaza para la región”.