Una actualización del navegador permitió a hackers tomar el control de la red eléctrica de todo un país
Un lanzamiento aparentemente inocuo ocultaba un mecanismo para una intrusión silenciosa.
Una operación de inteligencia de larga duración suele notarse no por un único gran hackeo, sino por una cadena de intrusiones silenciosas, y los especialistas de Unit 42 vincularon esa campaña con el grupo CL-STA-1062, que en 2025 atacó organismos estatales y la infraestructura crítica en el Sudeste Asiático.
Según Unit 42, la actividad del grupo se remonta al menos a marzo de 2022. Los especialistas atribuyen con alta confianza a CL-STA-1062 el clúster UAT-7237, observado anteriormente en ataques contra la infraestructura de alojamiento web en Taiwán. En la nueva campaña, los objetivos principales fueron organizaciones gubernamentales, empresas del sector energético y empresas estatales.
En septiembre de 2025 los atacantes comprometieron una entidad estatal en uno de los países de la región. Desplegaron web shells, es decir, archivos ocultos para la ejecución remota de comandos en el servidor, y extrajeron datos de una base de datos MSSQL. En ese mismo país los atacantes realizaron reconocimiento de la red de otra institución gubernamental, y en un caso prepararon para la exfiltración un directorio completo con el código fuente del servidor web.
De octubre a diciembre de 2025 Unit 42 observó la probable compromisión de al menos diez organizaciones en el Sudeste Asiático. El grupo prestó especial atención al sector energético. En una red de infraestructura crítica la actividad duró varios meses y abarcó todo el ciclo del ataque, desde el acceso inicial hasta la extracción de datos. Más tarde los especialistas detectaron la compromisión de dos organizaciones energéticas estatales en ese mismo país.
CL-STA-1062 combinó herramientas listas y software malicioso propio. Tras comprometer aplicaciones web, el grupo ejecutaba web shells ASPX, recopilaba información del sistema y de la red, buscaba rutas para moverse dentro de la infraestructura y enviaba los resultados a servidores bajo su control. Para tunelización, control y exfiltración se usaron SoftEther VPN, VNT y yuze; además los archivos se disfrazaban como componentes de VMware o de un agente XDR.
Un nuevo elemento de la campaña fue TinyRCT, un backdoor para Windows en C# no descrito anteriormente. El malware ejecuta comandos, examina archivos, toma capturas de pantalla, transmite datos al servidor de mando y puede eliminar sus rastros. Antes de ejecutarse, TinyRCT comprueba si el archivo está en %LOCALAPPDATA%, y el cargador verifica si se está iniciando desde la carpeta Downloads. Estas comprobaciones ayudan al malware a terminar su ejecución en un sandbox o en el escritorio de un analista.
La infección se relaciona con el archivo chrome_setup.zip. En su interior había un ejecutable legítimo, un archivo de configuración y una DLL maliciosa. Al iniciarse el instalador, el entorno .NET leía el archivo de configuración adyacente y cargaba la DLL en un proceso de confianza. A continuación, el cargador descargaba TinyRCT con el nombre PerfWatson2.exe y creaba la tarea GoogleUpdaterTaskSystem para que el archivo malicioso se ejecutara al iniciar sesión el usuario en el sistema.
Para reducir el riesgo, Unit 42 recomienda bloquear la ejecución de archivos no confiables mediante reglas de comportamiento estrictas y restricciones de ejecución. Las organizaciones también deben monitorizar dominios, URL y direcciones IP conocidas asociadas con la campaña, y comprobar indicios de actividad de TinyRCT, SoftEther VPN, VNT, web shells y archivos RAR con datos.