Se cree que **Tropic Trooper** (también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda), un grupo de hackers con un historial de ataques a entidades en Taiwán, Hong Kong y Filipinas, está detrás de esta actividad reciente. **Zscaler ThreatLabz** descubrió la campaña el mes pasado y la atribuye con alta confianza a este grupo, que ha estado activo desde al menos 2011. ### AdaptixC2 Beacon y GitHub C2 "Los actores de amenazas crearon un listener AdaptixC2 Beacon personalizado, aprovechando **GitHub** como su plataforma de comando y control (C2)", dijo el investigador de seguridad Yin Hong Chang en un análisis. Esto indica un cambio estratégico en sus tácticas, adaptando recursos fácilmente disponibles para fines maliciosos. Se cree que la campaña se dirige a personas de habla china en Taiwán, así como a personas en Corea del Sur y Japón. El ataque comienza con un archivo ZIP que contiene documentos de temática militar. Al abrir este archivo se inicia una versión no autorizada de **SumatraPDF**, que muestra un documento PDF señuelo mientras recupera simultáneamente shellcode cifrado de un servidor de preparación para lanzar el AdaptixC2 Beacon. ### TOSHIS Loader y Ataque Multietapa El ejecutable **SumatraPDF** troyanizado lanza una versión modificada de un loader con nombre en clave TOSHIS, una variante de Xiangoop. Xiangoop es un malware previamente vinculado a **Tropic Trooper**, y se ha utilizado para obtener payloads como Cobalt Strike Beacon o el agente Merlin para el framework Mythic.  El loader inicia el ataque multietapa, dejando caer el documento señuelo como distracción y el agente AdaptixC2 Beacon en segundo plano. El agente utiliza **GitHub** para C2, comunicándose con la infraestructura del atacante para recibir tareas para su ejecución en el host comprometido. ### Túneles de VS Code para Acceso Remoto El ataque se intensifica cuando una víctima se considera valiosa. En este punto, el actor de amenazas implementa **VS Code** y configura túneles de VS Code para el acceso remoto. En ciertas máquinas, se instalan aplicaciones troyanizadas, probablemente para ocultar sus actividades. También se ha observado que el servidor de preparación ("158.247.193[.]100") aloja un Cobalt Strike Beacon y una puerta trasera personalizada llamada EntryShell, herramientas utilizadas previamente por **Tropic Trooper**. ### Cambio de Tácticas "Similar a la campaña TAOTH, se utilizan puertas traseras disponibles públicamente como payloads", señaló **Zscaler**. "Si bien anteriormente se utilizaban Cobalt Strike Beacon y Mythic Merlin, el actor de amenazas ha cambiado ahora a AdaptixC2".