Hackers atacaron una agencia gubernamental en Asia y la convirtieron en una competencia de espionaje

Varios grupos de hackers ingresaron simultáneamente a la red de un organismo estatal en el sudeste asiático y actuaron allí en paralelo, como si no se estorbaran entre sí. El panorama fue inusual: herramientas diferentes, enfoques distintos, pero un objetivo: afianzarse en el sistema y extraer datos de forma silenciosa.

Especialistas de Unit 42 detectaron actividad sospechosa en el verano de 2025. Al principio se trataba de una operación del grupo Stately Taurus, que difundía malware mediante memorias USB. El medio infectado introducía en el sistema el programa USBFect, también conocido como HIUPAN. Tras su ejecución, el programa instalaba la puerta trasera PUBLOAD y empezaba a infectar otros equipos de la red.

El malware vigilaba las conexiones de dispositivos extraíbles y se copiaba en ellos, transformando memorias USB comunes en instrumentos de ataque. Mediante PUBLOAD los atacantes recopilaban datos del sistema —nombre del equipo, del usuario, parámetros de los discos— los cifraban y los enviaban a un servidor de mando y control. La actividad se prolongó por más de dos meses, hasta mediados de agosto.

Paralelamente, en la misma red operaron otras dos agrupaciones identificadas como CL-STA-1048 y CL-STA-1049. Su enfoque era notablemente distinto.

CL-STA-1048 actuó de forma más agresiva y persistente. Los atacantes probaron varias herramientas para intentar eludir las defensas. Se emplearon varias piezas de software a la vez: la puerta trasera EggStremeFuel, el troyano de acceso remoto Masol, el cargador EggStreme y el spyware Gorem con capacidad de registro de pulsaciones. Más tarde se añadió TrackBak, una herramienta de exfiltración que recolectaba el historial de actividad del usuario, el contenido del portapapeles y archivos de los discos.

Ese conjunto indica un intento de afianzarse en el sistema a toda costa. Algunas herramientas coinciden con las campañas de Crimson Palace y con la actividad del grupo Earth Estries, los cuales se asocian con China.

CL-STA-1049, en cambio, actuó con más discreción. Los atacantes emplearon un nuevo cargador, Hypnosis, que se hacía pasar por archivos legítimos de un antivirus. Mediante la suplantación de bibliotecas ejecutaban código malicioso dentro de un proceso de confianza y no despertaban sospechas.

Ese cargador instalaba el troyano FluffyGh0st, una versión modificada del conocido Gh0st RAT. El programa otorgaba acceso remoto completo al sistema y podía descargar módulos adicionales desde un servidor de mando. Para la comunicación, los atacantes incluso usaron un dominio comprometido de una empresa tailandesa, para que el tráfico pareciera legítimo.

Es interesante que las tres agrupaciones operaran en la misma red casi al mismo tiempo. Además, las herramientas y métodos se solapan parcialmente con las operaciones Unfading Sea Haze y otras campañas vinculadas a China. No hay una conexión directa entre los clústeres, pero las coincidencias son demasiado notables como para considerarlas accidentales.

En definitiva, no se trata de un ataque aislado, sino de una operación prolongada con un objetivo claro. Los atacantes no buscaban destruir o dejar fuera de servicio sistemas. Se afianzaban en la red, recopilaban datos y mantenían el acceso el mayor tiempo posible.