Se delataron en la configuración: hackers chinos fueron descubiertos por usar su idioma natal y software poco habitual.
Bastó un simple vistazo a los archivos de texto para descubrir al enemigo.
Los especialistas de la unidad Unit 42 de Palo Alto Networks revelaron una operación cibernética de varios años contra organizaciones en países de Asia. La campaña, designada CL-UNK-1068, permaneció fuera del radar al menos desde 2020 y afectó a entidades con alto valor de datos — desde organismos gubernamentales hasta el sector energético, la aviación y las telecomunicaciones.
El análisis muestra actividad sostenida contra empresas e instituciones del sur, sudeste y este de Asia. Entre los objetivos figuraron la industria aeronáutica, órganos estatales, fuerzas del orden, farmacéuticas, empresas tecnológicas y el sector de telecomunicaciones. El equipo de Unit 42 asocia la campaña con un grupo que emplea el idioma chino; esa evaluación se basa en el origen de las herramientas, rastros lingüísticos en archivos de configuración y la selección de objetivos.
Tras el acceso inicial, los atacantes se afianzaban en la infraestructura mediante web shells GodZilla y una versión modificada de AntSword. A través de esas herramientas los operadores obtenían acceso a servidores, se movían por la red y buscaban bases de datos. Una de las primeras tareas consistía en extraer archivos de configuración de sitios web del directorio c:/inetpub/wwwroot. Entre los datos robados había web.config, distintos archivos ASP y bibliotecas DLL. El contenido ayudaba a localizar credenciales y vulnerabilidades en el código de los sitios.
Los archivos sustraídos se archivaban con WinRAR, luego se codificaban en Base64 usando certutil y el texto resultante se mostraba directamente en la consola del web shell. Este método permitía extraer información del servidor sin transferir archivos de forma directa. Además de datos de configuración, los atacantes copiaban historiales de navegación, marcadores, hojas de cálculo XLSX y CSV desde los escritorios de los usuarios, así como copias de seguridad de bases de datos MSSQL.
La campaña se caracterizó por un conjunto flexible de herramientas para Windows y Linux. Los operadores recurrieron activamente a utilidades públicas populares en comunidades de hackers chinas, incluyendo GodZilla, AntSword y Fast Reverse Proxy. Una de las técnicas consistía en ejecutar bibliotecas maliciosas mediante la carga dinámica de DLL usando ejecutables legítimos de Python, lo que permitía descargar componentes adicionales de forma encubierta.
En la infraestructura de las víctimas también se detectó una herramienta propia llamada ScanPortPlus, escrita en Go. El programa escaneaba redes, verificaba direcciones y puertos, y buscaba vulnerabilidades en servidores. Para mantener acceso persistente se usó una versión modificada de Fast Reverse Proxy con características únicas de configuración — por ejemplo, un token de autenticación frpforzhangwei y una contraseña común en todas las muestras.
En servidores Linux los especialistas también registraron la instalación del backdoor Xnote. El programa permite el control remoto del sistema y puede lanzar ataques distribuidos de denegación de servicio.
Para el reconocimiento interno se emplearon guiones de línea de comandos especializados. Los scripts recopilaban información sobre usuarios, procesos, conexiones de red, programas instalados e historial de conexiones a servidores remotos. Los resultados se guardaban en archivos de texto, que luego se archivaban y se mostraban vía el shell.
Los atacantes prestaron especial atención al robo de credenciales. En las intrusiones se usaron herramientas como Mimikatz y LsaRecorder para extraer contraseñas de la memoria, así como DumpIt y Volatility para analizar volcados de memoria y obtener hashes de cuentas. En algunos casos los operadores intentaron extraer contraseñas guardadas desde la configuración de SQL Server Management Studio.
El comportamiento dentro de la infraestructura y la selección de objetivos apuntan a una posible motivación de inteligencia. El grupo buscaba activamente el contenido de bases de datos y la configuración de sistemas críticos. Al mismo tiempo, los especialistas no descartan también un interés comercial: los datos robados podrían haberse utilizado para extorsión o venta en mercados clandestinos.