Viernes 7 de noviembre de 2025 – 19:27 WIB
Jacarta – El Equipo de Análisis e Investigación Global de Kaspersky (GReAT) ha revelado campaña ciberespionaje Neurona pasiva continua, que apunta al sistema. ventanas Servidores en instituciones gubernamentales, financieras e industriales en Asia, África y América Latina.
Esta actividad se ha observado desde diciembre de 2024 y continuó hasta agosto de 2025. Después de seis meses de inactividad, PassiveNeuron ha vuelto a estar en servicio, utilizando tres herramientas clave (dos de las cuales eran previamente desconocidas) para obtener y mantener el acceso a redes específicas.
Estas herramientas incluyen:
• Neursite, una puerta trasera modular;
• NeuralExecutor, un implante basado en .NET;
• Cobalt Strike, un marco de pruebas de penetración utilizado frecuentemente por actores de amenazas.
La puerta trasera Neursite puede recopilar información del sistema, gestionar procesos en ejecución y enrutar el tráfico de la red a través de hosts comprometidos, permitiendo el movimiento lateral dentro de la red.
Lea también:
Prabowo: Los beneficiarios del programa MBG alcanzan los 35,4 millones, siete veces la población de Singapur
Se descubrió que las muestras se comunicaban con servidores externos de comando y control, así como con sistemas internos comprometidos.
NeuralExecutor está diseñado para ofrecer cargas útiles adicionales. El implante admite múltiples métodos de comunicación y puede cargar y ejecutar ensamblados .NET recibidos desde su servidor de comando y control.
«PassiveNeuron se destaca por su enfoque en servidores comprometidos, que a menudo son la columna vertebral de la red de una organización. Los servidores expuestos a Internet son objetivos particularmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un único host comprometido puede proporcionar acceso a sistemas críticos», dijo Georgy Kucherin, investigador de seguridad GReAT de Kaspersky.
Por lo tanto, es importante minimizar la superficie de ataque asociada y monitorear continuamente las aplicaciones del servidor para detectar y detener posibles infecciones.
En las muestras observadas por los expertos GReAT de Kaspersky, los nombres de las funciones fueron reemplazados por cadenas que contienen caracteres cirílicos, que parecen haber sido introducidos intencionalmente por los atacantes.
Estos artefactos requieren una evaluación cuidadosa durante la atribución, ya que pueden servir como señales falsas diseñadas para engañar a los analistas.
Basándose en las tácticas, técnicas y procedimientos observados, Kaspersky evalúa con poca confianza que la campaña probablemente esté asociada con un actor de amenazas en idioma chino.
Página siguiente
A principios de 2024, los investigadores de Kaspersky detectaron actividad de PassiveNeuron y describieron la campaña como que mostraba un alto nivel de sofisticación.
