HomeNews* Un nuevo grupo de amenazas conocido como NightEagle (APT-Q-95) ha atacado servidores de Microsoft Exchange en China utilizando vulnerabilidades de día cero.
Los ciberataques se centran en organizaciones gubernamentales, de defensa y tecnológicas, especialmente en sectores como semiconductores, tecnología cuántica, inteligencia artificial e investigación militar.
NightEagle utiliza una versión modificada de la herramienta de código abierto Chisel, entregada a través de un cargador .NET personalizado implantado en Microsoft Internet Information Server (IIS).
Los atacantes explotan un zero-day de Exchange para obtener credenciales clave, lo que permite el acceso no autorizado y la extracción de datos de los servidores objetivo.
Los investigadores de seguridad sugieren que el actor de la amenaza opera por la noche en China y puede estar basado en América del Norte, según los tiempos de ataque observados.
Los investigadores han identificado un grupo de ciberespionaje previamente desconocido, NightEagle, que está atacando activamente a los servidores de Microsoft Exchange en China. Este actor de amenazas utiliza una cadena de exploits de día cero para infiltrarse en organizaciones del gobierno, defensa y sectores de tecnología avanzada.
Publicidad - Según el Equipo RedDrip de QiAnXin, NightEagle ha dirigido sus ataques a empresas en campos como semiconductores, tecnología cuántica, inteligencia artificial e I+D militar. El grupo ha estado operando desde 2023, moviéndose rápidamente entre diferentes infraestructuras de red y actualizando frecuentemente sus métodos.
El equipo de investigación comenzó su indagación tras encontrar una versión personalizada de la herramienta de penetración Chisel en el sistema de un cliente. Esta herramienta estaba configurada para ejecutarse automáticamente cada cuatro horas. Los analistas explicaron en su informe que los atacantes alteraron la herramienta Chisel de código abierto, estableciendo nombres de usuario y contraseñas fijos, y conectando puertos específicos entre la red comprometida y su servidor de comando.
El malware inicial se entrega a través de un cargador .NET, que está incrustado en el Internet Information Server (IIS) del servidor de Exchange. Los atacantes aprovechan una falla no revelada—una vulnerabilidad de día cero—para recuperar la credencial machineKey del servidor. Esto les permite deserializar y cargar malware adicional en cualquier servidor de Exchange de una versión compatible, obteniendo acceso remoto y la capacidad de leer datos del buzón.
Un portavoz de QiAnXin declaró: “Parece tener la velocidad de un águila y ha estado operando por la noche en China,” refiriéndose a las horas de operación del grupo y a la razón detrás de su nombre. Basándose en los patrones de actividad, los investigadores sospechan que NightEagle podría estar basado en América del Norte porque la mayoría de los ataques ocurren entre las 9 p.m. y las 6 a.m., hora de Pekín.
Los hallazgos fueron revelados en CYDES 2025, la Exposición y Conferencia Nacional de Ciberdefensa y Seguridad de Malasia. QiAnXin ha notificado a Microsoft sobre la investigación para tomar medidas adicionales.
Artículos Anteriores:
BRICS lanzará un Fondo de Garantía Multilateral en la Cumbre de Río
Eurex Clearing Lanza una Solución de Colateral Basada en DLT para Margen
Un hombre de Droitwich enfrenta 39 cargos de fraude por el robo de 206,000 libras de una organización benéfica
Bitcoin se acerca a su récord histórico mientras los proyectos de ley pro-cripto llegan al Congreso de EE. UU.
Ballenas de Bitcoin inactivas mueven $3B después de 14 años, generando expectación
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT ataca a China a través de exploits de día cero en Exchange
HomeNews* Un nuevo grupo de amenazas conocido como NightEagle (APT-Q-95) ha atacado servidores de Microsoft Exchange en China utilizando vulnerabilidades de día cero.
El equipo de investigación comenzó su indagación tras encontrar una versión personalizada de la herramienta de penetración Chisel en el sistema de un cliente. Esta herramienta estaba configurada para ejecutarse automáticamente cada cuatro horas. Los analistas explicaron en su informe que los atacantes alteraron la herramienta Chisel de código abierto, estableciendo nombres de usuario y contraseñas fijos, y conectando puertos específicos entre la red comprometida y su servidor de comando.
El malware inicial se entrega a través de un cargador .NET, que está incrustado en el Internet Information Server (IIS) del servidor de Exchange. Los atacantes aprovechan una falla no revelada—una vulnerabilidad de día cero—para recuperar la credencial machineKey del servidor. Esto les permite deserializar y cargar malware adicional en cualquier servidor de Exchange de una versión compatible, obteniendo acceso remoto y la capacidad de leer datos del buzón.
Un portavoz de QiAnXin declaró: “Parece tener la velocidad de un águila y ha estado operando por la noche en China,” refiriéndose a las horas de operación del grupo y a la razón detrás de su nombre. Basándose en los patrones de actividad, los investigadores sospechan que NightEagle podría estar basado en América del Norte porque la mayoría de los ataques ocurren entre las 9 p.m. y las 6 a.m., hora de Pekín.
Los hallazgos fueron revelados en CYDES 2025, la Exposición y Conferencia Nacional de Ciberdefensa y Seguridad de Malasia. QiAnXin ha notificado a Microsoft sobre la investigación para tomar medidas adicionales.
Artículos Anteriores: