Un grupo de amenazas avanzadas vinculado a China, llamado Weaver Ant, infiltró la red de un proveedor de telecomunicaciones en Asia y permaneció oculto por más de cuatro años.
Puntos clave del ataque
✅ Usaron routers Zyxel CPE comprometidos para esconder tráfico y su infraestructura.
✅ Implantaron múltiples backdoors China Chopper y un nuevo web-shell llamado INMemory.
✅ Exfiltraron datos sin ser detectados usando captura pasiva de tráfico y port mirroring.
✅ Crearon un túnel de web shells, enlazando varios servidores para ocultar su presencia.
✅ Se movieron lateralmente con SMB shares y cuentas privilegiadas sin cambios de contraseña.
✅ Borraron rastros, desactivando registros como ETW y AMSI.
¿Cómo operó Weaver Ant? ️♂️
Red secreta dentro de la red
Los hackers usaron una red de relay (ORB) basada en routers Zyxel CPE para encubrir su infraestructura.
Uso de China Chopper y el web-shell INMemory
Primero usaron una versión cifrada de China Chopper para obtener control remoto de los servidores.
Después introdujeron un web-shell más avanzado, INMemory, que ejecuta código de manera sigilosa con una DLL llamada eval.dll.
Túnel de web shells – “Tejiendo” su propia red
Enlazaron varios web-shells en diferentes servidores para ocultar el tráfico, lo que les permitió moverse entre segmentos de la red sin conexión a Internet.
Persistencia y espionaje
Durante 4 años, recopilaron archivos de configuración, registros de acceso y credenciales para mapear la infraestructura de la empresa y asegurar acceso continuo.
Su foco era más inteligencia de red y acceso prolongado que el robo de datos financieros o de usuarios.
¿Cómo defenderse de las Amenazas de Weaver Ant? ️
⚠️ Recomendaciones de seguridad
Monitorear el tráfico interno y registrar IIS y PowerShell logs.
Aplicar el principio de mínimo privilegio y rotar credenciales con frecuencia.
Detectar web-shells conocidos con herramientas de seguridad y análisis estático.
Weaver Ant: un grupo patrocinado por el estado ☠️
Su uso de routers Zyxel CPE, malware asociado a grupos chinos y actividad en horario GMT+8 sugieren un vínculo con ciberespionaje patrocinado por el gobierno.
Las telecomunicaciones siguen siendo un blanco clave en el espionaje cibernético global, y este caso demuestra la necesidad de reforzar la seguridad en infraestructuras críticas.