Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Grupos chinos usan Claude Code y DeepSeek en ciberataques gubernamentales


Se ha detectado una campaña de intrusión altamente estructurada y respaldada por el estado chino, que utiliza plataformas de inteligencia artificial comercial como motores operativos. En lugar de usarlas como herramientas de apoyo, los atacantes integraron Claude Code y DeepSeek-v4-pro directamente en los flujos de ejecución de sus operaciones de ciberespionaje, aprovechando la infraestructura de comando y control (C2) conocida como TencShell.





Una campaña de intrusión activa y altamente estructurada que coopta plataformas comerciales de inteligencia artificial como motores operativos para operaciones patrocinadas por el estado.

En lugar de actuar como herramientas de investigación periféricas, Claude Code y DeepSeek-v4-pro fueron integrados directamente en los flujos de ejecución centrales de una campaña de ciberespionaje vinculada a China.

La operación descubierta por los investigadores de Hunt pivotó a partir de la infraestructura de comando y control (C2) de TencShell, documentada originalmente por Cato CTRL en mayo de 2026, que expuso un directorio abierto con código fuente de víctimas, scripts de explotación personalizados, registros de operadores y páginas de inicio de sesión clonadas, acompañadas de documentación en chino simplificado.

Chinos integran Claude Code y DeepSeek

Los investigadores analizaron los registros de operadores recuperados, que revelaron una división de trabajo programática y definitiva entre dos modelos de lenguaje extensos distintos:

  • Claude Code (Ejecución y Automatización): Encargado de la interacción con herramientas agénticas, el procesamiento de entornos bash interactivos, la ejecución de comandos de terminal y el mantenimiento de la persistencia de la sesión operativa.
  • DeepSeek-v4-pro (Razonamiento y Lógica de Ataque): Aprovechado exclusivamente para el razonamiento de ataques de alto nivel, generación de scripts, lógica de evasión de seguridad y adaptación de exploits.

Instrucciones detalladas descubiertas dentro de un archivo de espacio de trabajo central CLAUDE.md dirigieron al agente automatizado para construir, probar y optimizar dinámicamente la infraestructura de phishing dirigida.

Las líneas temporales operativas fechadas entre el 8 y el 12 de junio de 2026 expusieron entornos de trabajo activos dedicados, adaptados específicamente para requisitos de inteligencia basados en Taiwán.

Este flujo operativo sistemático refleja el aviso de seguridad de Anthropic de noviembre de 2025 relativo a un actor de amenazas vinculado a China que utiliza herramientas de desarrollador maliciosas para orquestar intrusiones masivas y automatizadas en infraestructuras.

TencShell malware port 1111 HTTP header, showing 13 unique IP's
Cabecera HTTP del puerto 1111 del malware TencShell, mostrando 13 IPs únicas (Fuente de la imagen: HUNT.io)

Los investigadores de Hunt pivotaron sobre una huella digital de cabecera HTTP compartida y única; los investigadores expusieron una red de infraestructura más amplia que abarcaba 13 servidores principales a través de cuatro Números de Sistema Autónomo (ASN) independientes basados en Hong Kong.

Tres de estos nodos de recolección principales utilizaron claves SSH y certificados TLS superpuestos para establecer capas de redundancia integradas.

El nodo de recolección primario 112.213.124[.]132 albergaba un kit de herramientas ofensivas de varios niveles que incluía el marco ARL (Attack Reconnaissance Lighthouse) para el mapeo de redes, DeepAudit para la identificación de vulnerabilidades y Vshell para la administración remota de sistemas.

Estas herramientas se encontraban justo al lado de un repositorio abierto que almacenaba 2.431 archivos robados u operativos. El análisis también sacó a la luz un marco secundario totalmente indocumentado, apodado “Gshell”, que se ejecutaba en sincronía a través de la misma infraestructura, demostrando que el grupo de amenazas mantenía marcos C2 paralelos para maximizar el tiempo de actividad operativa.

IP profile for 112.213.124[.]132 showing open ports 1111, 3000 (DeepAudit), 5003 (ARL), 8084 (Vshell), and 8888 (open directory)
Perfil de IP para 112.213.124[.]132 mostrando puertos abiertos 1111, 3000 (DeepAudit), 5003 (ARL), 8084 (Vshell) y 8888 (directorio abierto) (Fuente de la imagen: HUNT.io)
País Objetivo / SectorVector del Sistema ComprometidoCarga Útil de Explotación Core / Objetivo
TaiwánRedes de cadena de suministro y entidades de fabricación (8 empresas)Inyección SQL (SQLi) de empresas químicas; exfiltración de tokens de nube (claves Supabase/Azure SAS).
TailandiaNodos de aplicaciones administrativas gubernamentalesVaciado de datos de registros de identificación nacional de empleados impulsado por SQLMap; despliegue de webshell GIF-polyglot para persistencia.
AfganistánArquitectura de aplicación pública basada en LaravelIngesta de bases de datos de quejas ciudadanas y claves de cifrado a través de Ejecución Remota de Código (RCE) de deserialización personalizada.
Estados UnidosSubdominios del sector público y bases de datos cívicasHuellas de subdominios de la NASA; preparación de clones de phishing no finalizados dirigidos al Consejo de D.C. y al condado de Delaware, Pensilvania.
Servicios FinancierosPlataformas de procesamiento de pagos empresarialesExplotación de Compartición de Recursos de Origen Cruzado (CORS) dirigida a credenciales web administrativas de WordPress en Europa, Australia y Asia.

La campaña documenta un panorama de amenazas de nivel intermedio a avanzado, caracterizado por cargas útiles de exploits personalizados ajustadas a firmas de versiones de marcos muy estrechas, orquestación de malware multiplataforma y ciclos de evasión impulsados por LLM en tiempo real.

Los operadores utilizaron con éxito estas configuraciones para la recolección activa de credenciales en aplicaciones corporativas multi-inquilino generalizadas.

Redacted compromised database table of a Thai government admin panel
Tabla de base de datos comprometida y redactada de un panel de administración del gobierno tailandés (Fuente de la imagen: HUNT.io)

La combinación de registros de desarrolladores en chino simplificado, la localización geográfica en la infraestructura de internet de Hong Kong y los objetivos que reflejan explícitamente mandatos de inteligencia estatal respalda fuertemente la existencia de un grupo de amenazas basado en China.

En última instancia, esta actividad señala un cambio de paradigma crítico: los sistemas de IA comerciales han evolucionado de ser ayudantes de investigación pasivos y fuera de línea a convertirse en componentes activos y multiplicadores de fuerza en ciberataques interactivos, planteando nuevas preguntas sobre los riesgos de doble uso en entornos agénticos.



Fuentes:
https://cybersecuritynews.com/chinese-hackers-ai-attacks/

0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.