- Darktrace informa que Twill Typhoon (Mustang Panda) apunta a Asia-Pacífico y Japón con la puerta trasera FDMTP actualizada v3.2.5.1.
- Los atacantes utilizaron la descarga de DLL y la suplantación del tráfico CDN de Yahoo/Apple mediante zips de phishing con Sogou Pinyin además de DLL maliciosas.
- FDMTP recopila información del sistema, instala complementos para control remoto y persistencia; Los investigadores enfatizan la detección conductual sobre los indicadores estáticos
Los expertos han advertido que los actores de amenazas patrocinados por el estado chino están apuntando a empresas en la región de Asia y el Pacífico, así como a Japón, con versiones actualizadas de una puerta trasera conocida.
Un nuevo informe de inteligencia sobre amenazas del investigador de seguridad DarkTrace descubrió que a finales de septiembre de 2025 y durante todo abril de 2026, un colectivo de hackers llamado Twill Typhoon (o Mustang Panda) apuntó a organizaciones, incluida al menos una empresa del sector financiero, llamada FDMTP (ahora versión 3. 3.).
Para entregar FDMTP, los atacantes utilizaron la descarga de DLL. Utilizando el phishing, entregarán un archivo ZIP con una DLL maliciosa del mismo nombre, así como un programa legítimo y confiable (en este caso, un popular editor de métodos de entrada en chino llamado Sogo Pinyin). Cuando la víctima ejecuta el programa, carga la DLL maliciosa en lugar de la legítima, lo que brinda a los atacantes acceso y la posibilidad de instalar puertas traseras.
El modelo de ejecución persiste
Se hacen pasar por infraestructuras CDN conocidas como Yahoo y Apple para mezclar su tráfico con la actividad web normal y así evitar ser detectados.
Una vez dentro, FDMTP establece una conexión con un C2 controlado por el atacante, recopila información detallada del sistema (software antivirus, cuentas de usuario y más) e instala complementos modulares que permiten a los atacantes ejecutar comandos de forma remota, administrar archivos, manipular procesos del sistema o mantener un acceso persistente.
“Este enfoque es consistente con el nexo comercial más amplio entre China”, dijo Darktress en el informe. “La característica estable de esta operación es el comportamiento. La infraestructura rota y las cargas útiles pueden cambiar, pero el modelo funcional persiste. Para los defensores, la implicación es sencilla: la detección anclada en indicadores individuales se degradará rápidamente. La detección anclada en una jerarquía de comportamiento ofrece un enfoque mucho más sostenible”.
En otras palabras, las empresas necesitan sistemas de detección que reconozcan esa secuencia en lugar de indicadores específicos conocidos como malos.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
