Timitator: hackers de nueva generación atacan la infraestructura crítica de China

ciberataques Timitator OceanLotus CobaltStrike Rust DLL Sideloading Xunxinfo
Timitator: hackers de nueva generación atacan la infraestructura crítica de China
ciberataques Timitator OceanLotus CobaltStrike Rust DLL Sideloading Xunxinfo

Software en Rust, firmas falsas y conexiones con OceanLotus. ¿Con qué más sorprenderá este grupo?

image

Durante el período de 2022 a 2023, el grupo de ciberdelincuentes Timitator (战术模仿者) atacó activamente instituciones energéticas, científicas y militares chinas. Los ataques se realizaron utilizando phishing y otros métodos dirigidos a comprometer los sistemas objetivo.

El grupo Timitator utilizó diversos formatos de archivos maliciosos, como «.exe», «.chm», «.iso» y «.lnk». Tras el lanzamiento exitoso de los archivos infectados, en la primera etapa se cargaba CobaltStrike para establecer una conexión estable, y luego a través de ella se cargaba código malicioso personalizado que permitía evaluar la red y desarrollar planes de ataque individuales para cada dispositivo infectado.

Recientemente, el laboratorio Xunxinfo detectó un nuevo lote de ejemplos de phishing de software malicioso de Timitator. En ellos, en lugar de CobaltStrike, se utilizó una herramienta de gestión remota escrita en Rust. Algunos de estos archivos estaban equipados con firmas falsas de Microsoft y descripciones que los camuflaban como software legítimo.

El grupo Timitator utiliza constantemente la técnica de DLL Sideloading, combinando programas legítimos con bibliotecas maliciosas. Por ejemplo, junto con el sistema de control de temperatura NitroSense se utilizaba la biblioteca maliciosa WTSAPI32.dll, y con el antivirus Bitdefender — Log.dll. Estas bibliotecas maliciosas estaban protegidas por la carcasa VMP, pero su efectividad contra los antivirus se redujo debido a la falta de una firma legítima.

Durante el análisis se determinó que la primera etapa de carga del shellcode coincidía con muestras previamente atribuidas a otro grupo de hackers — OceanLotus. Esto indica una posible conexión entre Timitator y OceanLotus.

Mientras tanto, Timitator continúa atacando activamente importantes instituciones chinas, adaptando sus métodos y herramientas para eludir los sistemas modernos de protección. El uso de nuevas herramientas basadas en Rust, así como la falsificación de firmas, demuestran el alto nivel de preparación e inventiva de los delincuentes.

No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!

Suscribirse

Noticias sobre el tema

Scattered Spider pierde fuerza: arrestado otro miembro del grupo

Manipulación digital: cuando los hackers dictan la política

Cuando MFA es impotente: el phishing AiTM se está volviendo cada vez más popular entre los atacantes

Ataque a RECOPE: un ransomware paralizó el sistema energético de Costa Rica

0Day en MiCollab: miles de empresas en riesgo por la inacción de Mitel

Caza de cazadores: Hackers iraníes atacaron a un candidato a director del FBI

Los códigos QR están bajo ataque: los investigadores descubren un agujero de seguridad en los navegadores web

La ilusión de ayuda: cómo Black Basta se apodera de las computadoras mediante bombardeos de correo electrónico

Operaciones cardíacas en todo el mundo paralizadas por un hackeo a Artivion