Una organización gubernamental de un país del Sudeste Asiático ha sido objetivo de una amplia operación de ciberespionaje que los analistas de Palo Alto Networks Unit 42 describen como «sofisticada y bien financiada». La investigación revela la actuación simultánea de tres clusters de amenaza vinculados a China, trabajando en paralelo y, con alta probabilidad, de forma coordinada para obtener acceso persistente a la infraestructura estatal.
Operación de ciberespionaje enfocada en acceso persistente
Según Unit 42, la campaña no se limita a incidentes aislados, sino que busca establecer un acceso prolongado y sigiloso a sistemas internos gubernamentales. Este enfoque es típico de las operaciones APT (amenazas persistentes avanzadas), donde los atacantes permanecen meses o años dentro de la red, recopilando información sensible, cartografiando la infraestructura y preparando posibles acciones futuras.
La actividad observada encaja con patrones descritos en informes públicos de grandes proveedores de ciberseguridad sobre ciberespionaje orientado a intereses estratégicos: priorización de redes gubernamentales, uso de múltiples familias de malware y gran énfasis en la evasión de defensas tradicionales.
Tres clusters de ataque vinculados a China
Los investigadores distinguen tres conjuntos principales de actividad: Mustang Panda, CL-STA-1048 y CL-STA-1049. Aunque cada uno emplea herramientas y tácticas distintas, comparten TTPs (tácticas, técnicas y procedimientos) históricamente asociados a grupos de amenaza con orientación china, incluyendo el uso intensivo de RAT, técnicas de DLL side-loading y explotación de dispositivos USB.
Mustang Panda: explotación de USB y cadena HIUPAN–Claimloader–PUBLOAD
En el caso de Mustang Panda, la campaña se ha rastreado entre el 1 de junio y el 15 de agosto de 2025. El elemento central es el malware HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch), diseñado específicamente para propagarse mediante dispositivos USB. Una vez ejecutado en la máquina víctima, HIUPAN carga una biblioteca maliciosa denominada Claimloader, que a su vez descarga y ejecuta el backdoor PUBLOAD.
Unit 42 señala que Claimloader se viene utilizando al menos desde finales de 2022 en ataques contra entidades gubernamentales, por ejemplo en Filipinas. En este incidente, la combinación Claimloader–PUBLOAD permitió a los atacantes mantener el control del sistema y desplegar un segundo backdoor, COOLCLIENT, atribuido a Mustang Panda desde hace más de tres años.
COOLCLIENT ofrece funcionalidad típica de herramientas de ciberespionaje: carga y extracción de ficheros, keylogging (registro de pulsaciones de teclado), tunelización de tráfico y recolección de información de red. Estas capacidades facilitan tanto la exfiltración de datos como el uso de los equipos comprometidos como pivotes para moverse lateralmente por la red gubernamental.
CL-STA-1048: conjunto “ruidoso” de herramientas para dificultar la atribución
El cluster CL-STA-1048 se caracteriza por el uso de un amplio y heterogéneo arsenal de scripts y binarios, descrito por los analistas como “ruidoso”. La presencia de numerosos artefactos dificulta reconstruir con precisión la cadena de ataque y vincular muestras de malware concretas a una sola entidad. Esta estrategia es habitual en campañas de ciberespionaje que buscan enmascarar la atribución y complicar la respuesta forense.
CL-STA-1049: Hypnosis Loader y despliegue de FluffyGh0st RAT
El tercer cluster, CL-STA-1049, incorpora un nuevo cargador DLL denominado Hypnosis Loader. Su ejecución se basa en la técnica de DLL side-loading, donde una biblioteca maliciosa suplanta a una legítima y es cargada por una aplicación confiable. Esta técnica permite eludir defensas que confían en la reputación o la firma digital del ejecutable principal.
El objetivo final de Hypnosis Loader es desplegar FluffyGh0st RAT, un troyano de acceso remoto que otorga a los atacantes un acceso persistente y de alto nivel sobre los sistemas comprometidos. Aunque el vector inicial de infección de CL-STA-1048 y CL-STA-1049 no se ha determinado con certeza, la combinación de side-loading, cargadores en varias etapas y RAT encaja con tácticas de intrusión sigilosa en redes fuertemente segmentadas.
Malware orientado a USB y DLL side-loading: técnicas clave de la campaña
La investigación ha identificado múltiples familias de malware, entre ellas HIUPAN, PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, Hypnosis Loader y FluffyGh0st RAT. Este abanico de herramientas refleja un alto nivel de recursos, desarrollo y mantenimiento por parte de los operadores.
Destaca especialmente el uso de malware orientado a USB, muy eficaz en entornos gubernamentales donde el acceso a Internet está restringido pero los dispositivos extraíbles siguen siendo un vector de intercambio de información. Informes de distintas firmas de seguridad han subrayado en los últimos años el incremento de ataques que explotan USB para franquear perímetros aislados o redes clasificadas.
En paralelo, la técnica de DLL side-loading se consolida como un método de evasión clave. Al cargar código malicioso a través de programas firmados y legítimos, los atacantes reducen la probabilidad de detección por soluciones basadas en listas blancas de aplicaciones o en reputación de archivos.
Impacto para la ciberseguridad gubernamental y medidas recomendadas
La convergencia de los tres clusters y el tipo de objetivos seleccionados llevan a Unit 42 a concluir que forman parte de una operación estratégica unificada, alineada con patrones de ciberespionaje de origen chino documentados por varias empresas internacionales. No se observan indicios de destrucción de sistemas; la prioridad es el acceso duradero, el espionaje y el control de la infraestructura.
Este incidente refuerza varias tendencias clave:
- Aumento de los ataques basados en USB contra redes aisladas o parcialmente segmentadas.
- Uso intensivo de DLL side-loading para eludir controles basados en firmas y reputación.
- Predominio de operaciones de ciberespionaje sobre ataques disruptivos, con énfasis en la furtividad y la persistencia.
Para las administraciones públicas y las infraestructuras críticas, estas campañas son una llamada a actualizar sus modelos de amenaza. Es esencial reforzar no solo el perímetro, sino también los canales internos de propagación, especialmente los medios físicos.
Entre las medidas prioritarias destacan: políticas estrictas de uso de dispositivos USB (whitelisting, cifrado, escaneo automático), implantación de EDR/XDR con análisis de comportamiento, y programas de threat hunting orientados a detectar patrones de DLL side-loading y actividades de RAT. Los ejercicios regulares de simulación de incidentes y las auditorías técnicas ayudan a identificar debilidades reales frente a actores avanzados.
La lección principal de esta operación de ciberespionaje es clara: cuanto mejor comprenden las organizaciones sus vulnerabilidades y los escenarios de ataque plausibles, más difícil resulta para grupos como Mustang Panda y clusters similares mantener un acceso clandestino y prolongado. Invertir de forma sostenida en visibilidad, detección temprana y formación del personal ya no es opcional, sino un requisito básico para proteger la información gubernamental en un entorno de amenazas cada vez más sofisticadas.
