La comunidad tibetana ha sido atacada por un grupo de ciber espionaje de China-Nexus como parte de dos campañas realizadas el mes pasado antes del 90 cumpleaños del Dalai Lama el 6 de julio de 2025.
Los ataques de múltiples etapas han sido nombrados en código Operación Ghostchat y Operación Phantomprayers por Zscaler amenaza.
«Los atacantes comprometieron un sitio web legítimo, redirigiendo a los usuarios a través de un enlace malicioso y, en última instancia, instalando la puerta trasera de la rata GH0st o Phantomnet (también conocida como Smanager) en los sistemas de víctimas», dijeron los investigadores de seguridad Sudeep Singh y Roy Tay en un informe del miércoles.
Esta no es la primera vez que los actores de amenaza china han recurrido a los ataques de agujeros de riego (también conocido como compromisos web estratégicos), una técnica en la que los adversarios entran en sitios web con frecuencia visitados por un grupo específico para infectar sus dispositivos con malware.
En los últimos dos años, los grupos de piratería como Evilbamboo, Evasive Panda y TAG-112 han recurrido al enfoque para apuntar a la diáspora tibetana con el objetivo final de recopilar información confidencial.
 |
| Operación Ghostchat |
El último conjunto de ataques observados por ZSCaler implica el compromiso de una página web para reemplazar el enlace que apunta a «Tibetfund (.) Org/90th Birthday» con una versión fraudulenta («thedalailama90.niccenter (.) Net»).
Si bien la página web original está diseñada para enviar un mensaje al Dalai Lama, la página de réplica agrega una opción para enviar un mensaje encriptado al líder espiritual descargando desde «tbelement.niccenter (.) Net» Una aplicación de chat segura llamada Telement, que afirma ser una versión tibetana de Element.
Alojado en el sitio web hay una versión trasera del software de chat encriptado de código abierto que contiene una DLL maliciosa que está resbalada para lanzar GH0ST RAT, un troyano de acceso remoto ampliamente utilizado por varios grupos de piratería chinos. La página web también incluye el código JavaScript diseñado para recopilar la dirección IP del visitante y la información de agente de usuario, y exfiltrar los detalles al actor de amenaza a través de una solicitud de publicación HTTP.
 |
| Operación Phantomprayers |
GH0ST RAT es un malware totalmente realizado que admite la manipulación de archivos, la captura de pantalla, la extracción de contenido del portapapeles, la grabación de video de la cámara web, el keylogging, la grabación de audio y la reproducción, la manipulación de procesos y el shell remoto.
The second campaign, Operation PhantomPrayers, has been found to leverage another domain, «hhthedalailama90.niccenter(.)net,» to distribute a phony «90th Birthday Global Check-in» app («DalaiLamaCheckin.exe,» dubbed PhantomPrayers) that, when opened, displays an interactive map and urges victims to «send your blessings» for the Dalai Lama by tapping su ubicación en el mapa.
Sin embargo, la funcionalidad maliciosa se activa sigilosamente en segundo plano, utilizando técnicas de carga lateral de DLL para iniciar PhantomNet, una puerta trasera que establece el contacto con un servidor de comando y control (C2) a través de TCP para recibir DLL de complementos adicionales para la ejecución en la máquina comprometida.
«Phantomnet se puede configurar para operar solo durante horas o días específicos, pero esta capacidad no está habilitada en la muestra actual», dijeron los investigadores. «Phantomnet utilizó DLL de complementos modulares, tráfico C2 cifrado de AES y operaciones cronometradas configurables, para administrar sigilosamente sistemas comprometidos».