Un actor de amenazas alineado con China, identificado como UTA0388, ha sido vinculado a múltiples campañas de phishing selectivo contra objetivos en América del Norte, Asia y Europa. Estas campañas buscan distribuir un implante basado en Go llamado GOVERSHELL. Según un informe de Volexity, las campañas iniciales estaban personalizadas, con correos electrónicos que pretendían ser enviados por investigadores y analistas senior de organizaciones ficticias. El objetivo era engañar a las víctimas para que hicieran clic en enlaces que conducían a archivos alojados que contenían cargas maliciosas.
Desde entonces, el actor ha utilizado diversos señuelos e identidades falsas en varios idiomas, incluidos inglés, chino, japonés, francés y alemán. Las versiones iniciales de la campaña incrustaban enlaces a contenido de phishing en servicios en la nube o en su propia infraestructura, lo que llevaba al despliegue de malware. Las oleadas posteriores se describen como altamente personalizadas, generando confianza con los destinatarios a lo largo del tiempo antes de enviar el enlace, una técnica conocida como phishing de creación de confianza.
Independientemente del enfoque, los enlaces eventualmente dirigen a archivos ZIP o RAR que contienen una carga maliciosa DLL activada mediante DLL side-loading. Esta carga es un backdoor en desarrollo activo llamado GOVERSHELL, que se superpone con un grupo rastreado por Proofpoint como UNK_DropPitch. Volexity señala que GOVERSHELL es un sucesor de la familia de malware HealthKick, originalmente escrita en C++.
- HealthKick (observado por primera vez en abril de 2025): ejecuta comandos a través de cmd.exe
- TE32 (observado por primera vez en junio de 2025): ejecuta comandos a través de una reverse shell de PowerShell
- TE64 (observado por primera vez a principios de julio de 2025): ejecuta comandos nativos y dinámicos a través de PowerShell para recopilar información del sistema, hora, ejecutar comandos y consultar servidores externos
- WebSocket (observado por primera vez a mediados de julio de 2025): ejecuta comandos de PowerShell e incluye un subcomando de actualización no implementado
- Beacon (observado por primera vez en septiembre de 2025): ejecuta comandos nativos y dinámicos a través de PowerShell para establecer intervalos de consulta base, aleatorizarlos o ejecutar comandos
Servicios legítimos como Netlify, Sync y OneDrive fueron abusados para alojar archivos comprimidos, mientras que los correos electrónicos provenían de Proton Mail, Microsoft Outlook y Gmail. Un aspecto notable de las operaciones de UTA0388 es el uso de ChatGPT de OpenAI para generar contenido de phishing en inglés, chino y japonés, asistir en flujos de trabajo maliciosos e investigar herramientas de código abierto como nuclei y fscan. OpenAI confirmó esto y prohibió las cuentas utilizadas.
El perfil de segmentación de la campaña es consistente con un actor de amenazas interesado en problemas geopolíticos asiáticos, con un enfoque especial en Taiwán. Los correos electrónicos y archivos llevan a Volexity a evaluar con confianza media que UTA0388 utilizó automatización, incluidos LLMs, para generar y enviar contenido con poca supervisión humana en algunos casos.
Por separado, StrikeReady Labs informó de una presunta campaña de ciberespionaje vinculada a China dirigida a un departamento de aviación serbio e instituciones europeas en Hungría, Bélgica, Italia y Países Bajos. La campaña, observada a finales de septiembre, utilizó correos electrónicos de phishing con enlaces a páginas falsas de CAPTCHA de Cloudflare, que conducían a archivos ZIP que contenían archivos LNK que ejecutaban PowerShell para lanzar PlugX mediante DLL side-loading.
Acerca del autor
