Investigadores de ciberseguridad han descubierto una sofisticada campaña de espionaje originada en China, dirigida a infraestructura crítica y entidades gubernamentales en múltiples continentes. ### SHADOW-EARTH-053: Espionaje a través de continentes **Trend Micro** ha identificado el grupo de actividad de amenazas como **SHADOW-EARTH-053**, señalando su actividad desde al menos diciembre de 2024. El grupo comparte solapamientos de red con otros actores de amenazas conocidos, incluyendo CL-STA-0049, Earth Alux y REF7707. Según los investigadores Daniel Lunghi y Lucas Silva, el grupo explota vulnerabilidades N-day en servidores **Microsoft Exchange** e Internet Information Services (**IIS**) expuestos a Internet, aprovechando vulnerabilidades como **ProxyLogon**. Luego despliegan web shells, como **Godzilla**, para acceso persistente y preparan implantes **ShadowPad** a través de la carga lateral de DLL de ejecutables firmados legítimamente. Los objetivos incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán, siendo Polonia la única nación europea identificada. ### Cadena de Ataque y Tácticas La brecha inicial implica la explotación de fallos de seguridad conocidos para comprometer sistemas sin parches, seguido del despliegue de web shells como Godzilla para acceso remoto persistente. Estos web shells sirven como plataforma de lanzamiento para la ejecución de comandos, reconocimiento y el despliegue final del backdoor ShadowPad a través de **AnyDesk**. El malware se lanza utilizando técnicas de carga lateral de DLL. En un caso, se informó que la vulnerabilidad **React2Shell** (**CVE-2025-55182**) se utilizó para distribuir una versión para Linux de **Noodle RAT** (también conocido como ANGRYREBEL y Nood RAT). El **Google Threat Intelligence Group (GTIG)** ha vinculado esta cadena de ataque específica a un grupo conocido como UNC6595.  También se emplean herramientas de tunelización de código abierto como IOX, GO Simple Tunnel (GOST) y Wstunnel, junto con **RingQ** para empaquetar binarios maliciosos y evadir la detección. Para la escalada de privilegios, **SHADOW-EARTH-053** utiliza **Mimikatz**, mientras que el movimiento lateral se facilita a través de un lanzador de protocolo de escritorio remoto (RDP) personalizado y una implementación en C# de SMBExec conocida como [Sharp-SMBExec](https://github.com/checkymander/Sharp-SMBExec/). ### Estrategias de Mitigación "El vector de entrada principal utilizado en esta campaña fueron las vulnerabilidades en aplicaciones IIS expuestas a Internet", declaró Trend Micro. Recomiendan priorizar la aplicación de las últimas actualizaciones de seguridad y parches acumulativos a Microsoft Exchange y cualquier aplicación web alojada en IIS. En casos donde el parcheo inmediato no sea posible, se recomienda encarecidamente implementar Sistemas de Prevención de Intrusiones (IPS) o Firewalls de Aplicaciones Web (WAF) con conjuntos de reglas diseñados específicamente para bloquear intentos de explotación contra CVEs conocidos (Virtual Patching). ### GLITTER CARP y SEQUIN CARP Atacan a Activistas y Periodistas **Citizen Lab** también ha informado sobre una nueva campaña de phishing de dos actores de amenazas distintos afiliados a China, dirigidos a periodistas y a la sociedad civil, incluyendo activistas uigures, tibetanos, taiwaneses y de la diáspora de Hong Kong. Estas campañas fueron detectadas en abril y junio de 2025. Los grupos se denominan **GLITTER CARP**, que ha atacado al Consorcio Internacional de Periodistas de Investigación (**ICIJ**), y **SEQUIN CARP**, cuyo objetivo principal fue la periodista del ICIJ Scilla Alecci y otros periodistas internacionales que escriben sobre temas de interés crítico para el gobierno chino.  Citizen Lab señala que los actores emplean sofisticados esquemas de suplantación digital en correos electrónicos de phishing, incluyendo la suplantación de individuos conocidos y alertas de seguridad de empresas tecnológicas. A pesar de los diferentes grupos objetivo, la actividad utiliza infraestructura y tácticas consistentes, reutilizando frecuentemente los mismos dominios y personas suplantadas en múltiples objetivos. **GLITTER CARP**, además de ataques de phishing a gran escala, ha sido vinculado a campañas de phishing dirigidas a la industria de semiconductores taiwanesa. **SEQUIN CARP** comparte similitudes con un grupo rastreado por **Volexity** como UTA0388 y un conjunto de intrusiones detallado por Trend Micro como TAOTH. Las campañas tienen como objetivo obtener acceso inicial a cuentas basadas en correo electrónico a través de la recolección de credenciales, páginas de phishing o ingeniería social para engañar a los objetivos y que otorguen acceso a un token OAuth de terceros. Los correos electrónicos de phishing de GLITTER CARP también utilizan píxeles de seguimiento de 1x1 para recopilar información del dispositivo y confirmar si los correos electrónicos fueron abiertos. Citizen Lab observó la orientación concurrente de organizaciones específicas utilizando tanto el kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) como la entrega de HealthKick, lo que indica un posible solapamiento entre estos grupos, aunque la relación exacta sigue sin estar clara. La unidad de investigación concluye que la represión transnacional digital opera cada vez más a través de una red distribuida de actores y que los objetivos se alinean con las prioridades de inteligencia del gobierno chino, lo que sugiere la participación de entidades comerciales contratadas por el estado chino.