Un actor de amenazas con supuestos vínculos con China ha sido implicado en una "intrusión de múltiples oleadas" contra una empresa de petróleo y gas de Azerbaiyán entre finales de diciembre de 2025 y finales de febrero de 2026. Esta campaña representa una expansión notable en el alcance de los objetivos del grupo. **FamousSparrow** (también conocido como UAT-9244), ha sido atribuido por **Bitdefender** con una confianza de moderada a alta. El grupo comparte solapamientos tácticos con clústeres rastreados como Earth Estries y Salt Typhoon. Los ataques implicaron el despliegue de dos puertas traseras distintas en tres oleadas separadas: **Deed RAT** (también conocido como Snappybee), un sucesor de ShadowPad utilizado por múltiples grupos de espionaje con nexos en China, y **TernDoor**, descubierto recientemente en ataques dirigidos a infraestructura de telecomunicaciones en Sudamérica desde 2024. ### Explotación persistente de vulnerabilidad de Microsoft Exchange Notablemente, la campaña aprovechó repetidamente el mismo punto de entrada vulnerable de **Microsoft** Exchange Server a pesar de los intentos de remediación. Los atacantes cambiaron las puertas traseras cada vez: Deed RAT el 25 de diciembre de 2025, TernDoor a finales de enero/principios de febrero de 2026, y una versión modificada de Deed RAT a finales de febrero de 2026. Se cree que los atacantes explotaron la cadena ProxyNotShell para obtener acceso inicial. "Este objetivo amplía la victimología conocida de FamousSparrow a una región donde el papel de Azerbaiyán en la seguridad energética europea ha aumentado materialmente tras la expiración en 2024 del acuerdo de tránsito de gas de Ucrania por parte de Rusia y las interrupciones en el Estrecho de Ormuz en 2026", declaró **Bitdefender** en su informe. "La intrusión ilustra que los actores explotarán y volverán a explotar la misma ruta de acceso hasta que la vulnerabilidad original sea parcheada, las credenciales comprometidas sean rotadas y la capacidad del atacante para regresar sea completamente interrumpida."  ### Técnicas avanzadas de carga lateral de DLL El acceso inicial fue seguido por intentos de desplegar web shells para acceso persistente y, finalmente, desplegar Deed RAT utilizando una técnica evolucionada de carga lateral de DLL. Esta técnica aprovecha el binario legítimo LogMeIn Hamachi para cargar y ejecutar una DLL maliciosa responsable de ejecutar el payload principal. "A diferencia de la carga lateral de DLL estándar que se basa en un simple reemplazo de archivos, este método anula dos funciones exportadas específicas dentro de la biblioteca maliciosa", explicó **Bitdefender**. "Esto crea un disparador de dos etapas que controla la ejecución del cargador de Deed RAT a través del flujo de control natural de la aplicación host, evolucionando aún más las capacidades de evasión de defensa de la carga lateral de DLL tradicional." Los ataques también implicaron movimiento lateral para ampliar el acceso dentro de la red comprometida y establecer puntos de apoyo redundantes. La segunda oleada, casi un mes después de la intrusión inicial, vio al adversario intentando desplegar TernDoor a través de Mofu Loader, un cargador de shellcode previamente atribuido a GroundPeony, utilizando carga lateral de DLL. La firma azerbaiyana fue atacada por tercera vez hacia finales de febrero de 2026, con actores de amenazas intentando desplegar una versión modificada de Deed RAT, lo que indica esfuerzos para refinar su arsenal de malware. Este artefacto utiliza "sentinelonepro [.]com" para command-and-control (C2). ### Operación sostenida y adaptativa "Esta intrusión no debe verse como un compromiso aislado, sino como una operación sostenida y adaptativa llevada a cabo por un actor que buscó repetidamente recuperar y extender el acceso dentro del entorno de la víctima", concluyó **Bitdefender**. "A través de múltiples oleadas de actividad, se revisitó la misma ruta de acceso, se introdujeron nuevos payloads y se establecieron puntos de apoyo adicionales, lo que subraya un alto grado de persistencia y disciplina operativa."