UNC5174 implementa malware SNOWLIGHT en ataques a Linux y macOS

Un grupo de amenazas que se cree tiene vínculos con las operaciones cibernéticas patrocinadas por el estado de China, identificado como UNC5174, ha lanzado una campaña cibernética sigilosa y técnicamente avanzada destinada a Linux y Mac OS entornos.

Según una nueva investigación publicado por Sysdig, El grupo está utilizando una forma revisada del malware SNOWLIGHT en combinación con una herramienta de acceso remoto de código abierto llamada VShell.

Armas de código abierto en el espionaje moderno

Los analistas de seguridad de Sysdig señalaron que UNC5174 está implementando estratégicamente utilidades de código abierto para ocultar sus operaciones y reducir los gastos operativos.. Imitando el comportamiento de piratas informáticos independientes o ciberdelincuentes de nivel inferior, El grupo aumenta la dificultad de asignar atribución directa.

Este enfoque les permite operar dentro de un contexto más amplio., ecosistema más ruidoso, haciéndolos más difíciles de identificar y rastrear. El informe también señala que UNC5174 no había estado activo públicamente durante más de un año antes de que esta campaña resurgiera..

Flujo de ataque e implementación de malware

La campaña comienza con la ejecución de un guión denominado download_backd.sh. Este script instala dos componentes clave: uno está asociado con una variante modificada de SNOWLIGHT (administrador de DNS), y el otro está relacionado con el kit de herramientas de post-explotación de Sliver (trabajador del sistema). Estos elementos sientan las bases para el acceso persistente y la comunicación con un servidor de control remoto..

Luego, SNOWLIGHT inicia la entrega de VShell, un troyano residente en memoria, solicitándolo a la infraestructura del atacante. La carga útil nunca se escribe en el disco, lo que le permite eludir muchos mecanismos de detección tradicionales. Una vez activo, VShell brinda a los atacantes la capacidad de ejecutar comandos del sistema, transferir archivos, y mantener el acceso a largo plazo a través de canales de comunicación encubiertos como WebSockets.

Amenaza multiplataforma: macOS también está en la mira

Aunque la operación se dirige principalmente a entornos Linux, La evidencia sugiere que el paquete de malware también es Capaz de comprometer los sistemas macOS. En otras palabras, Esto parece ser un malware multiplataforma operación.

Un ejemplo incluye una versión de VShell que estaba disfrazada como una aplicación de autenticación de marca Cloudflare.. Esta compilación maliciosa se cargó en VirusTotal desde China a fines de 2024, indicando la estrategia de segmentación más amplia de la campaña y los componentes de ingeniería social.

UNC5174, También conocido en algunos informes como Uteus o Uetus, tiene una historia de Explotar vulnerabilidades de software ampliamente utilizadas. Campañas pasadas documentadas por Mandiant, una empresa de ciberseguridad propiedad de Google, implicó abordar fallas en Connectwise ScreenConnect y F5 BIG-IP. Estas operaciones también utilizaron SNOWLIGHT para recuperar malware adicional como GOHEAVY, una herramienta de tunelización basada en Golang, y GOREVERSE, una utilidad de shell inversa basada en SSH.

La agencia nacional de ciberseguridad de Francia, ANSSI, ha destacado un patrón similar en ataques no relacionados que explotan vulnerabilidades en el Cloud Service Appliance de Ivanti.. Vulnerabilidades como CVE-2024-8963, CVE-2024-9380, y CVE-2024-8190 Se informó que se utilizaron junto con tácticas de intrusión comparables a las observadas en las operaciones UNC5174.. La ANSSI también señaló el uso frecuente de herramientas de piratería informática disponibles públicamente., incluyendo rootkits, como rasgo clave de estas campañas.

Se detectan más actividades de hackers chinos en la red

Equipo T5, una empresa de investigación de ciberseguridad con sede en Taiwán, Actividad divulgada de forma independiente que se asemeja a los métodos de UNC5174. Según sus hallazgos, atacantes vulnerabilidades explotadas de Ivanti para distribuir una nueva cepa de malware llamada QUIMERA DESPEDIDORA. Estos incidentes afectaron objetivos en casi 20 países, incluido Estados Unidos, Reino Unido, Japón, Singapur, y los Países Bajos, destacando la amplia huella internacional de estas operaciones cibernéticas.

Esta campaña se lleva a cabo mientras la tensión entre China y Estados Unidos continúa desarrollándose.. En febrero de 2025, Las autoridades chinas acusaron a Estados Unidos. Agencia de Seguridad Nacional (NSA) de llevar a cabo ciberintrusiones masivas durante los Juegos Asiáticos de Invierno. Según el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China (Centro de Control de Enfermedades de los Estados Unidos (CVERC)), por encima 170,000 Los ataques fueron atribuidos a Estados Unidos.. durante una ventana de 20 días, Con incursiones adicionales rastreadas a otras naciones, incluida Alemania., Corea del Sur, y Singapur.

Los funcionarios chinos expresaron una enérgica condena, Afirmando que los ataques pusieron en peligro sectores de infraestructura clave como el financiero., defensa, y comunicaciones públicas. El Ministerio de Relaciones Exteriores advirtió que las intrusiones también corren el riesgo de comprometer los datos personales de los ciudadanos chinos y la integridad de los sistemas nacionales..

Pensamientos concluyentes

Los investigadores de Sysdig destacan que este caso subraya cómo los actores de amenazas avanzadas explotan cada vez más herramientas de código abierto para enmascarar sus afiliaciones.. Herramientas como VShell y SNOWLIGHT están disponibles gratuitamente y son ampliamente utilizadas., Permitiendo a los atacantes ejecutar campañas sofisticadas bajo la apariencia de una actividad cibercriminal común.. El resultado es una amenaza altamente evasiva que combina sigilo y, flexibilidad, y negación plausible.