Operaciones SHADOW-EARTH-053, GLITTER CARP y SEQUIN CARP en Asia y Europa

Investigadores han registrado una nueva actividad de espionaje de orientación china SHADOW-EARTH-053, dirigida a organismos gubernamentales y de defensa en Asia del Sur, del Este y Sudeste Asiático, así como a un país de la OTAN (Polonia), basada en la explotación de Microsoft Exchange e IIS vulnerables y la instalación del backdoor ShadowPad; en paralelo, otros clústeres, GLITTER CARP y SEQUIN CARP, llevan a cabo operaciones de phishing contra periodistas y activistas, lo que en conjunto exige a las organizaciones reforzar de inmediato el patch management de los portales expuestos a Internet y aplicar un control estricto de acceso a las cuentas de correo y en la nube.

Detalles técnicos: de IIS vulnerables a ShadowPad y Noodle RAT

Cadena de ataque de SHADOW-EARTH-053

Según las observaciones de Trend Micro, el clúster SHADOW-EARTH-053 está activo al menos desde diciembre de 2024 y utiliza un escenario típico de operaciones de espionaje maduras: una combinación de explotación de vulnerabilidades ya conocidas (N-day) y una postexplotación bien planificada.

Elementos clave de la cadena:

• Acceso inicial: explotación de vulnerabilidades conocidas en aplicaciones expuestas a Internet sobre Microsoft IIS y en Microsoft Exchange, incluidas cadenas del tipo ProxyLogon. Esto permite la ejecución directa de código en el contexto del servidor de aplicaciones.
• Persistencia mediante web shell: en los servidores comprometidos se despliega el web shell Godzilla, lo que se corresponde con la técnica MITRE ATT&CK Web Shell. A este tipo de shell le basta con tráfico HTTP/HTTPS estándar, por lo que no es fácil filtrarla en el perímetro.
• Reconocimiento y preparación: a través del web shell se ejecutan comandos para inventariar el sistema y la red, preparando el terreno para la instalación de herramientas de control remoto más complejas.
• Instalación de ShadowPad: la fase final es el despliegue del backdoor modular ShadowPad mediante carga lateral de DLL (DLL side-loading) a través de un ejecutable legítimo firmado, incluido AnyDesk. Este método se corresponde con la técnica MITRE ATT&CK DLL Side-Loading y reduce considerablemente las posibilidades de detección gracias a la firma de confianza y al comportamiento habitual del proceso.

Un episodio concreto de la campaña demuestra la flexibilidad de las herramientas: para comprometer entornos Linux se empleó el exploit React2Shell para la vulnerabilidad CVE-2025-55182, lo que permitió desplegar la variante para Linux de Noodle RAT (también conocida como ANGRYREBEL y Nood RAT). Los detalles sobre la vulnerabilidad están disponibles en la base NVD: NVD: CVE-2025-55182.

Herramientas de postexplotación y sigilo

Tras establecerse en el sistema, SHADOW-EARTH-053 pasa al desarrollo vertical y horizontal de la intrusión:

• Túnelización y evasión del perímetro: se emplean herramientas de túnelización de código abierto como IOX, GO Simple Tunnel (GOST) y Wstunnel, que permiten encapsular el tráfico de control en protocolos habituales (normalmente HTTPS o WebSocket) y eludir las restricciones de red.
• Empaquetado de binarios: para dificultar el análisis estático y la detección basada en firmas se utiliza el empaquetador RingQ, lo que complica la identificación de backdoors a nivel de escaneo de archivos.
• Escalado de privilegios: se emplea Mimikatz para extraer credenciales, lo que se corresponde con la técnica MITRE ATT&CK Credential Dumping. La compromisión de cuentas de dominio convierte un incidente aislado de servidor en una crisis de dominio.
• Movimiento lateral: se utiliza un lanzador propio para el protocolo RDP y una implementación en C# de la herramienta SMBExec denominada Sharp-SMBExec, lo que encaja en las técnicas de la familia Lateral Movement over SMB.

En la descripción de la campaña no se incluyen IOC específicos (direcciones IP, dominios, hashes), lo que subraya que confiar exclusivamente en indicadores estáticos en este caso no es eficaz; es necesario centrar el foco en la monitorización basada en el comportamiento y en los registros.

GLITTER CARP y SEQUIN CARP: el phishing como herramienta de presión transnacional

El estudio de Citizen Lab describe otras dos actividades de phishing de orientación china — GLITTER CARP y SEQUIN CARP — dirigidas contra periodistas, medios internacionales y activistas de las diásporas uigur, tibetana, taiwanesa y hongkonesa. Estas operaciones no recurren a exploits complejos, pero se apoyan en ingeniería social de alto nivel y en la reutilización de infraestructura.

Características clave:

• Imitación precisa de identidad: los atacantes falsifican correos de periodistas reales, colegas del sector e incluso en nombre de grandes empresas tecnológicas (por ejemplo, notificaciones de seguridad), creando un contexto de confianza.
• Mecanismos de acceso:
  • robo de credenciales en páginas de phishing;
  • ingeniería social que convence a la víctima para conceder permisos de acceso a la cuenta mediante un token OAuth de terceros;
  • uso de un kit de phishing basado en el modelo adversary-in-the-middle (AiTM), que permite interceptar tokens de sesión incluso cuando hay autenticación multifactor.
• Seguimiento de apertura de correos: en las campañas de GLITTER CARP se utilizan imágenes de un píxel (1×1) cargadas desde un dominio de los atacantes para recopilar información sobre el dispositivo y el hecho de que el correo haya sido leído.

GLITTER CARP también se vincula a ataques de phishing contra la industria de semiconductores de Taiwán (bajo el nombre UNK_SparkyCarp en el estudio de Proofpoint), mientras que SEQUIN CARP muestra similitudes con el grupo UTA0388 (Volexity) y el conjunto TAOTH (Trend Micro). Citizen Lab destaca la existencia de solapamientos de infraestructura y técnicas entre varios clústeres, lo que apunta a una red distribuida de contratistas al servicio de los intereses del Estado.

Contexto de amenazas y ecosistema de contratistas

SHADOW-EARTH-053 muestra intersecciones de red con otros clústeres chinos rastreados como CL-STA-0049, Earth Alux y REF7707, y el uso de React2Shell y Noodle RAT se relaciona por parte de Google Threat Intelligence Group con el grupo UNC6595. No obstante, Trend Micro no observa una coordinación operativa directa entre SHADOW-EARTH-053 y el clúster afín SHADOW-EARTH-054, aunque casi la mitad de los objetivos se solapan.

Por otro lado, Citizen Lab, en relación con GLITTER CARP y SEQUIN CARP, indica un modelo de «subcontratación distribuida»: distintos contratistas llevan a cabo tanto operaciones clásicas de espionaje como campañas de presión digital contra diásporas y sociedad civil, y los objetivos se corresponden claramente con las prioridades de los servicios de inteligencia chinos. Este enfoque complica una atribución fiable: la infraestructura y las herramientas pueden migrar entre grupos, y algunos desarrolladores y operadores participan simultáneamente en varios proyectos.

Evaluación del impacto

Están expuestos al mayor riesgo:

• Organismos gubernamentales y de defensa en Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka, Taiwán y Polonia que utilizan Exchange e IIS accesibles desde Internet y carecen de un proceso estable de gestión rápida de parches.
• Organizaciones de la sociedad civil y medios de comunicación, especialmente las que trabajan con temas sensibles para el gobierno chino (corrupción, derechos de las minorías, geopolítica de Taiwán y Hong Kong).

Posibles consecuencias de la inacción:

• Compromiso prolongado y sigiloso de la infraestructura mediante ShadowPad y Noodle RAT, fuga de correspondencia, documentos, planes de adquisiciones y escenarios militares o de política exterior.
• Compromiso del entorno de dominio a través de Mimikatz y movimiento lateral, con la consiguiente pérdida total de confianza en el entorno de Active Directory y la necesidad de una costosa reimplantación.
• Presión sobre periodistas y activistas mediante la interceptación del correo y de materiales internos, posibles campañas de descrédito o filtraciones selectivas en el contexto más conveniente para la parte atacante.

Recomendaciones prácticas de protección

Para propietarios de Exchange/IIS e infraestructura de servidores

1. Actualizar inmediatamente los parches:
   • instalar las últimas actualizaciones acumulativas de Microsoft Exchange y de todas las aplicaciones en IIS;
   • comprobar la disponibilidad de correcciones para CVE-2025-55182 en los sistemas Linux donde estén desplegados los componentes afectados (NVD: CVE-2025-55182).
2. Aplicar parches virtuales, si no es posible instalar rápidamente las actualizaciones:
   • configurar un WAF o IPS con reglas para bloquear las cadenas de explotación conocidas de ProxyLogon y React2Shell;
   • restringir el acceso a las interfaces administrativas de Exchange e IIS mediante VPN o listas de direcciones IP de confianza.
3. Realizar una búsqueda de web shell:
   • revisar los directorios virtuales de IIS y OWA/Exchange en busca de scripts ASPX, JSP y otros desconocidos;
   • analizar los registros de IIS en busca de solicitudes anómalas a scripts poco conocidos y parámetros cifrados largos, característicos de Godzilla.
4. Detección de DLL side-loading y herramientas inusuales:
   • monitorizar la ejecución de AnyDesk y otros ejecutables firmados desde rutas no estándar y con carga de DLL de terceros;
   • implantar reglas en el EDR/SIEM para detectar la ejecución de Mimikatz, utilidades de túnelización (GOST, Wstunnel, IOX) y herramientas como Sharp-SMBExec.
5. Refuerzo de la autenticación:
   • minimizar el uso de cuentas de administrador locales;
   • restringir el acceso RDP y SMB únicamente a los segmentos donde esté justificado, con autenticación multifactor obligatoria.

Para organizaciones expuestas al phishing (periodistas, ONG, medios)

1. Reforzar la protección de las cuentas de correo y en la nube:
   • activar factores resistentes a la interceptación (llaves hardware, aplicaciones autenticadoras) en lugar de SMS;
   • desactivar los protocolos obsoletos y la autenticación básica siempre que sea posible.
2. Control de aplicaciones OAuth:
   • revisar periódicamente la lista de aplicaciones de terceros con acceso al correo y a los documentos;
   • prohibir o restringir severamente la concesión de permisos de «acceso completo al buzón» y «gestión de archivos» para aplicaciones externas.
3. Filtrado y detección de phishing dirigido:
   • utilizar un gateway de seguridad de correo con verificación de enlaces y adjuntos;
   • configurar la detección de correos con imágenes sospechosas de 1×1 cargadas desde dominios desconocidos.
4. Formación del personal:
   • practicar escenarios de recepción de correos inesperados supuestamente enviados por colegas, grandes medios o «servicios de seguridad» de empresas;
   • fomentar la verificación mediante un canal alternativo (mensajería, teléfono) ante cualquier solicitud relacionada con el inicio de sesión en la cuenta o la concesión de un token de acceso.

Un paso crítico para las organizaciones de los sectores y regiones mencionados es, en los próximos días, cerrar los puntos de entrada vulnerables (Exchange, IIS, servicios compatibles con React2Shell), realizar una búsqueda dirigida de web shells y DLL side-loading en los servidores y, en paralelo, implantar un control estricto del acceso OAuth y la autenticación multifactor para las cuentas de correo y en la nube, con prioridad en la comprobación de todos los usuarios de mayor riesgo: funcionarios, periodistas y activistas.