Los investigadores de Palo Alto Networks Unit 42 han vinculado un clúster de intrusiones, rastreado como CL-STA-1062, con un backdoor previamente no documentado, TinyRCT. Según el informe, el grupo, presumiblemente de habla china, ataca organismos gubernamentales, empresas estatales del sector energético y operadores de infraestructuras críticas en el Sudeste Asiático. Entre octubre y diciembre de 2025, se habrían visto comprometidas al menos 10 organizaciones en la región. Se recomienda a las organizaciones de los sectores público y energético del Sudeste Asiático revisar sus sistemas en busca de los indicadores de compromiso publicados y reforzar la supervisión de sus servidores web.
Perfil del grupo y cronología de la campaña
Según Unit 42, la actividad de CL-STA-1062 se remonta al menos a marzo de 2022: las primeras operaciones se dirigieron contra sectores estratégicos de Asia Oriental. Desde mediados de 2025, el foco se ha desplazado hacia la infraestructura crítica del Sudeste Asiático. En septiembre de 2025, el grupo habría irrumpido en un organismo gubernamental de uno de los países de la región, desplegó una web shell y exfiltró datos desde un servidor MS SQL. Paralelamente se llevó a cabo reconocimiento de red contra otro organismo gubernamental del mismo país, lo que apunta a la preparación para movimientos laterales. En uno de los casos, según los investigadores, los atacantes extrajeron un directorio completo con el código fuente del servidor web.
Es importante señalar: la atribución y los datos sobre el alcance de la campaña se basan en un único informe de investigación y no han sido confirmados por fuentes independientes ni por las organizaciones afectadas.
Análisis técnico de TinyRCT
TinyRCT es un troyano de acceso remoto ligero, escrito sobre la plataforma .NET y distribuido con el nombre de archivo PerfWatson2.exe. Según el análisis de Unit 42, el backdoor cuenta con las siguientes capacidades:
- Ejecución de comandos arbitrarios en el host comprometido
- Enumeración y exfiltración de archivos
- Captura de pantallas
- Control remoto del sistema
- Autoborrado para ocultar rastros
- Detección y evasión de sandboxes
Comunicación en red
TinyRCT establece un canal de comunicación persistente con el servidor de mando y control mediante el protocolo HTTP, utilizando un modelo de peticiones periódicas (beaconing) con un intervalo por defecto de 10 segundos. Se emplean peticiones GET para recibir instrucciones y peticiones POST para enviar los datos robados. El tráfico se cifra con el algoritmo AES-128 en modo CBC.
Cadena de entrega
La entrega TinyRCT se realiza a través del archivo malicioso chrome_setup.zip, que contiene tres componentes: el ejecutable legítimo chrome_setup.exe, el archivo de configuración chrome_setup.exe.config y la biblioteca maliciosa MyAppDomainManager.dll. Esta última inicia un ataque de tipo AppDomainManager Injection (MITRE ATT&CK T1574.014), una técnica de sustitución del gestor de dominios de aplicaciones .NET que permite cargar código malicioso en el contexto de un proceso legítimo. La DLL cargada actúa como loader, conectándose a un servidor externo para obtener el backdoor principal.
Herramientas y tácticas
CL-STA-1062 utiliza un conjunto híbrido de herramientas que combina utilidades de código abierto con desarrollos propios. Entre las herramientas abiertas, según los investigadores:
- SoftEther VPN: para crear túneles VPN y facilitar el movimiento lateral
- Mimikatz: para extraer credenciales
- Yuze: utilidad proxy SOCKS5
- VNT: herramienta VPN
Un rasgo característico del grupo es el camuflaje de sus herramientas como si fueran software legítimo. Los archivos maliciosos se distribuyen con los nombres XDRAgent.exe, vmtools.exe y vmwared.exe, imitando componentes de VMware y agentes de sistemas de detección y respuesta ampliada. El acceso inicial a los sistemas objetivo se consigue mediante web shells en formato ASPX, que se utilizan para el reconocimiento inicial y para establecer conexiones salientes con la infraestructura de los atacantes.
Indicadores de compromiso
A partir de los datos del informe Unit 42 se han publicado los siguientes indicadores de red:
- Dirección IP del servidor C2 de TinyRCT:
45.32.113[.]172 - Dirección IP del servidor de descarga:
139.180.134[.]221 - Nombres de archivos:
PerfWatson2.exe,chrome_setup.zip,MyAppDomainManager.dll - Nombres de camuflaje:
XDRAgent.exe,vmtools.exe,vmwared.exe
Evaluación del impacto
Los organismos gubernamentales, las empresas estatales del sector energético y los operadores de infraestructuras críticas de los países del Sudeste y Este de Asia son los que corren mayor riesgo. La exfiltración del código fuente de servidores web y de datos de bases MS SQL puede derivar en la compromisión de sistemas adicionales, la filtración de información confidencial y la creación de una cabeza de puente para nuevos ataques contra organizaciones relacionadas. La combinación de un ataque dirigido contra infraestructuras críticas con el desarrollo de malware propio apunta a una amenaza persistente.
Recomendaciones de protección
- Revisar los registros de red en busca de conexiones con las direcciones IP
45.32.113.172y139.180.134.221, en especial tráfico HTTP con una periodicidad de ~10 segundos - Buscar los archivos
PerfWatson2.exe,MyAppDomainManager.dlly los archivos comprimidoschrome_setup.zipen servidores y estaciones de trabajo - Comprobar los servidores web para detectar archivos ASPX no autorizados, especialmente en directorios accesibles desde la web
- Identificar procesos sospechosos con los nombres
XDRAgent.exe,vmtools.exe,vmwared.exeque no se correspondan con instalaciones legítimas de VMware o soluciones XDR - Restringir el uso de AppDomainManager en aplicaciones .NET; configurar la supervisión de la carga de archivos de configuración
.configno estándar situados junto a los ejecutables - Reforzar el control de las conexiones VPN salientes, en particular SoftEther VPN, y del proxy mediante SOCKS5 desde el segmento de servidores
- Auditar el acceso a los servidores MS SQL; revisar los registros en busca de extracciones masivas de datos
La aparición de TinyRCT en el arsenal de CL-STA-1062 demuestra la transición del grupo desde el uso exclusivo de herramientas abiertas hacia el desarrollo de su propio malware con cifrado de tráfico y mecanismos de evasión de detección. Las organizaciones de los sectores objetivo deberían priorizar la revisión de su infraestructura en busca de los indicadores de compromiso publicados, configurar la detección de la técnica AppDomainManager Injection (T1574.014) y garantizar la monitorización del tráfico HTTP anómalo con el patrón de peticiones periódicas característico de TinyRCT.