{"id":155689,"date":"2025-08-21T11:47:38","date_gmt":"2025-08-21T18:47:38","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=155689"},"modified":"2025-09-04T13:28:31","modified_gmt":"2025-09-04T20:28:31","slug":"attackers-sell-your-bandwidth-using-sdks","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/","title":{"rendered":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda"},"content":{"rendered":"<h2><a id=\"post-155689-_heading=h.6r5607f4el5e\"><\/a>Resumen ejecutivo<\/h2>\n<p>Hemos detectado una campa\u00f1a destinada a obtener acceso a los equipos de las v\u00edctimas y monetizar el acceso a su ancho de banda. Funciona al aprovechar la vulnerabilidad <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2024-36401\" target=\"_blank\" rel=\"noopener\">CVE-2024-36401<\/a> de la base de datos geoespacial GeoServer. Esta vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo con gravedad cr\u00edtica tiene una <a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\" target=\"_blank\" rel=\"noopener\">puntuaci\u00f3n CVSS<\/a> de 9,8.<\/p>\n<p>Los delincuentes han aprovechado esta vulnerabilidad para implementar kits de desarrollo de software (SDK) leg\u00edtimos o aplicaciones modificadas con el fin de obtener ingresos pasivos a trav\u00e9s del uso compartido de redes o proxies residenciales.<\/p>\n<p>Este m\u00e9todo de generar ingresos pasivos es especialmente sigiloso. Imita una estrategia de monetizaci\u00f3n utilizada por algunos desarrolladores de aplicaciones leg\u00edtimos que optan por SDK en lugar de mostrar anuncios tradicionales. Esta puede ser una elecci\u00f3n bienintencionada que protege la experiencia del usuario y mejora la retenci\u00f3n de la aplicaci\u00f3n.<\/p>\n<p>Las aplicaciones que encontramos en esta actividad malintencionada son pr\u00e1cticamente silenciosas cuando est\u00e1n en funcionamiento. Consumen recursos m\u00ednimos mientras monetizan el ancho de banda de Internet de las v\u00edctimas, y sin crear ni distribuir malware. Esta integraci\u00f3n permite a los desarrolladores de aplicaciones recibir pagos, mientras que los delincuentes se benefician de los recursos del servidor no utilizados, minimizando el riesgo de que los detecten.<\/p>\n<p>Desde marzo de 2025, los atacantes han estado tanteando las instancias de GeoServer expuestas a Internet. <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> inform\u00f3 de la existencia de 3706\u00a0GeoServers accesibles p\u00fablicamente durante la primera semana de mayo de 2025, lo que indica una superficie de ataque potencialmente grande para los adversarios que tengan como objetivo CVE-2024-36401.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas descritas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">Prevenci\u00f3n de amenazas avanzada<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">WildFire avanzado<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el equipo de respuesta ante incidentes de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 97.3243%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 203.643%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/vulnerabilities-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Vulnerabilities<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-155689-_heading=h.7ugu83hfik7c\"><\/a>An\u00e1lisis de la campa\u00f1a<\/h2>\n<p>Hemos seguido de cerca una campa\u00f1a que surgi\u00f3 por primera vez a principios de marzo de 2025. Los atacantes han cambiado tanto la infraestructura como las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) para mantener la persistencia.<\/p>\n<p>Detectamos que los atacantes hicieron un uso indebido de un SDK y una aplicaci\u00f3n durante su campa\u00f1a:<\/p>\n<ul>\n<li>El SDK permit\u00eda a los desarrolladores monetizar otras aplicaciones a trav\u00e9s de la recopilaci\u00f3n de datos de los usuarios para obtener ingresos pasivos.<\/li>\n<li>La aplicaci\u00f3n permit\u00eda a los usuarios obtener ingresos pasivos por el hecho de compartir su conexi\u00f3n a Internet.<\/li>\n<\/ul>\n<p>En la siguiente cronolog\u00eda se muestra c\u00f3mo ha evolucionado esta amenaza.<\/p>\n<h3><a id=\"post-155689-_heading=h.desr78hvskxz\"><\/a><strong>Fase\u00a01: incursi\u00f3n inicial (principios de marzo de 2025)<\/strong><\/h3>\n<p>La campa\u00f1a comenz\u00f3 con intentos de explotaci\u00f3n dirigidos a CVE-2024-36401, y luego distribuy\u00f3 la aplicaci\u00f3n mal utilizada y las cargas \u00fatiles del SDK mal utilizado.<\/p>\n<ul>\n<li>8 de marzo de 2025: la campa\u00f1a comenz\u00f3 con intentos de explotaci\u00f3n originados desde la direcci\u00f3n IP de origen <span style=\"font-family: 'courier new', courier, monospace;\">108.251.152[.]209<\/span>. El atacante utiliz\u00f3 un exploit dirigido a CVE-2024-36401.<\/li>\n<li>Distribuci\u00f3n ejecutable personalizada: observamos que estos primeros exploits obten\u00edan ejecutables personalizados alojados en <span style=\"font-family: 'courier new', courier, monospace;\">37.187.74[.]75<\/span>.<\/li>\n<li>Desde este host se distribuyeron dos\u00a0ejecutables principales:\n<ul>\n<li>La aplicaci\u00f3n mal utilizada: detectamos variantes de una aplicaci\u00f3n, incluidas tres que hemos designado como <span style=\"font-family: 'courier new', courier, monospace;\">a193, d193 y e193<\/span>.<\/li>\n<li>El SDK mal utilizado: detectamos variantes de un SDK, incluidas cinco que hemos designado como <span style=\"font-family: 'courier new', courier, monospace;\">a593, c593, d593, s593 y z593<\/span>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-155689-_heading=h.rt7vw27mdd22\"><\/a><strong>Fase 2: cambio de t\u00e1cticas (finales de marzo - principios de abril de 2025)<\/strong><\/h3>\n<p>Los atacantes cambiaron de t\u00e1ctica durante esta fase de la campa\u00f1a.<\/p>\n<ul>\n<li>24 de marzo de 2025: algunos proveedores de VirusTotal marcaron la direcci\u00f3n IP de distribuci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">37.187.74[.]75<\/span> como maliciosa. Este cambio indica que la comunidad de seguridad comenz\u00f3 a reconocer la actividad malintencionada originada en esa direcci\u00f3n IP. Creemos que este es un factor clave que llev\u00f3 al actor de amenazas a trasladar su infraestructura a una direcci\u00f3n IP diferente.<\/li>\n<li>26 de marzo de 2025: los atacantes parecieron dejar de distribuir nuevas muestras de aplicaciones mal utilizadas. El foco de atenci\u00f3n pareci\u00f3 desplazarse por completo hacia el SDK mal utilizado.<\/li>\n<li>1 de abril de 2025: los actores de amenazas cambiaron su infraestructura principal de distribuci\u00f3n de exploits a una nueva direcci\u00f3n IP de origen, <span style=\"font-family: 'courier new', courier, monospace;\">185.246.84[.]189<\/span>. Probablemente se trataba de un intento de eludir las listas de bloqueo y continuar con sus operaciones sin obst\u00e1culos.<\/li>\n<\/ul>\n<h3><a id=\"post-155689-_heading=h.odtxh2h05dtl\"><\/a><strong>Fase\u00a03: expansi\u00f3n y persistencia de la infraestructura (mediados de abril de 2025 - en curso)<\/strong><\/h3>\n<p>Los atacantes ampliaron su infraestructura durante esta fase de la campa\u00f1a.<\/p>\n<ul>\n<li>17 de abril de 2025: los atacantes ampliaron a\u00fan m\u00e1s su infraestructura de backend. Pusieron en l\u00ednea una nueva direcci\u00f3n IP de distribuci\u00f3n ejecutable personalizada, <span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52<\/span>.<\/li>\n<li>La direcci\u00f3n IP de distribuci\u00f3n original <span style=\"font-family: 'courier new', courier, monospace;\">37.187.74[.]75<\/span> segu\u00eda activa a mediados de junio.<\/li>\n<\/ul>\n<p>En el momento de redactar este art\u00edculo, contin\u00faan los intentos de explotaci\u00f3n desde <span style=\"font-family: 'courier new', courier, monospace;\">185.246.84[.]189<\/span>, y los servidores de distribuci\u00f3n de ejecutables personalizados siguen en l\u00ednea.<\/p>\n<h2><a id=\"post-155689-_heading=h.b6a3c3gs2t83\"><\/a>An\u00e1lisis del exploit CVE-2024-36401<\/h2>\n<p>El n\u00facleo de esta vulnerabilidad reside en la capacidad de un atacante para inyectar c\u00f3digo arbitrario en las sentencias de consulta JXPath. JXPath es una biblioteca del proyecto Apache Commons que ofrece una implementaci\u00f3n de XPath.<\/p>\n<p>XPath es un est\u00e1ndar ampliamente adoptado para consultar y convertir documentos XML. JXPath ampl\u00eda de forma transparente el uso de expresiones XPath a diversas estructuras de datos Java m\u00e1s all\u00e1 de XML, como por ejemplo JavaBeans y colecciones de varios tipos. Desde el punto de vista de la seguridad, esta flexibilidad adicional tambi\u00e9n plantea importantes preocupaciones.<\/p>\n<p>JXPath admite <a href=\"https:\/\/commons.apache.org\/proper\/commons-jxpath\/apidocs\/index.html#extension-functions-heading\" target=\"_blank\" rel=\"noopener\">funcionalidad de extensi\u00f3n<\/a>, que un atacante puede explotar si obtiene control sobre la instrucci\u00f3n de consulta, lo que le permite ejecutar c\u00f3digo arbitrario. Esto supone un riesgo mayor que las vulnerabilidades t\u00edpicas de inyecci\u00f3n de consultas.<\/p>\n<p>Por ejemplo, los atacantes han utilizado funciones de extensi\u00f3n est\u00e1ndar para invocar m\u00e9todos como <em><span style=\"font-family: 'courier new', courier, monospace;\">getRuntime().exec()<\/span>.<\/em><\/p>\n<p>En la Figura\u00a01 se muestra un ejemplo de c\u00f3digo malintencionado que se aprovecha de la capacidad de JXPath para evaluar expresiones, lo que permite a un atacante inyectar y ejecutar comandos arbitrarios del sistema a trav\u00e9s del marcador de posici\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">#{cmd}<\/span>. Al hacer referencia a <span style=\"font-family: 'courier new', courier, monospace;\">exec(java.lang.Runtime.getRuntime()<\/span> dentro de <span style=\"font-family: 'courier new', courier, monospace;\">context.getValue<\/span>, un atacante activa el mecanismo de ejecuci\u00f3n en tiempo de ejecuci\u00f3n de Java, lo que da lugar a la ejecuci\u00f3n remota de c\u00f3digo en el sistema de destino.<\/p>\n<figure id=\"attachment_155690\" aria-describedby=\"caption-attachment-155690\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155690 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-969790-155689-1.png\" alt=\"En una l\u00ednea de c\u00f3digo que aparece en un fondo oscuro se observa una vulnerabilidad de inyecci\u00f3n de comandos que utiliza Java\u00a0Runtime para ejecutar un comando no deseado.\" width=\"1000\" height=\"134\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-969790-155689-1.png 1164w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-969790-155689-1-786x105.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-969790-155689-1-768x103.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155690\" class=\"wp-caption-text\">Figura 1. C\u00f3digo malintencionado que contiene un JXPath que hace referencia a una funci\u00f3n de ejecuci\u00f3n Java.<\/figcaption><\/figure>\n<p>En la Figura\u00a02 se muestra la carga \u00fatil de este ataque. Hemos suprimido la parte clave de la carga \u00fatil en la Figura\u00a02. La parte suprimida obliga a la v\u00edctima a ejecutar un comando del sistema para descargar un archivo desde las direcciones IP de distribuci\u00f3n del host del atacante.<\/p>\n<figure id=\"attachment_155701\" aria-describedby=\"caption-attachment-155701\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155701 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-972665-155689-2.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo inform\u00e1tico, que incluye etiquetas como GetPropertyValue y ValueReference. El fondo es negro con texto verde. Parte de la informaci\u00f3n est\u00e1 suprimida. \" width=\"1000\" height=\"245\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-972665-155689-2.png 1812w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-972665-155689-2-786x193.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-972665-155689-2-768x188.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-972665-155689-2-1536x376.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155701\" class=\"wp-caption-text\">Figura 2. Carga \u00fatil de un exploit encontrado en el entorno real.<\/figcaption><\/figure>\n<p>Seg\u00fan el <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2024-36401\" target=\"_blank\" rel=\"noopener\">NVD<\/a>:<\/p>\n<p style=\"padding-left: 40px;\"><em>Se ha confirmado que esta vulnerabilidad puede explotarse a trav\u00e9s de diversas solicitudes de servicios web (WFS), servicios de mapas web (WMS) y servicios de procesamiento web (WPS), incluidas las solicitudes GetFeature, GetPropertyValue, GetMap, GetFeatureInfo, GetLegendGraphic y Execute.<\/em><\/p>\n<p>Mientras analiz\u00e1bamos un exploit utilizado en este ataque, configuramos una instancia de GeoServer y recurrimos a una carga \u00fatil de exploit real para analizar c\u00f3mo funciona el exploit. Podemos ver lo que ocurre dentro de GeoServer siguiendo el flujo de su c\u00f3digo.<\/p>\n<p>Despu\u00e9s de simular el env\u00edo de una carga \u00fatil de ataque, nuestro comando se pas\u00f3 a la funci\u00f3n <em><span style=\"font-family: 'courier new', courier, monospace;\">GetPropertyValue<\/span>.<\/em> Como se muestra en la parte inferior de la Figura\u00a03, la l\u00ednea resaltada toma el objeto de <span style=\"font-family: 'courier new', courier, monospace;\"><em>solicitud<\/em> <\/span>entrante y lo transfiere a un m\u00e9todo de <span style=\"font-family: 'courier new', courier, monospace;\"><em>ejecuci\u00f3n<\/em><\/span>. El comando se ejecuta mediante <em><span style=\"font-family: 'courier new', courier, monospace;\">request.valueReference<\/span>.<\/em><\/p>\n<figure id=\"attachment_155712\" aria-describedby=\"caption-attachment-155712\" style=\"width: 917px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155712 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-975839-155689-3.png\" alt=\"Captura de pantalla del c\u00f3digo en un IDE, incluida la definici\u00f3n de un m\u00e9todo dentro de una clase marcada como sobrescritura de un m\u00e9todo de un servicio implementado. El c\u00f3digo incluye resaltado de sintaxis con colores rojo y azul.\" width=\"917\" height=\"287\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-975839-155689-3.png 917w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-975839-155689-3-786x246.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-975839-155689-3-768x240.png 768w\" sizes=\"(max-width: 917px) 100vw, 917px\" \/><figcaption id=\"caption-attachment-155712\" class=\"wp-caption-text\">Figura 3. Punto de entrada de carga malintencionada.<\/figcaption><\/figure>\n<p>Al entrar en esta funci\u00f3n, se observa que la carga \u00fatil de la Figura\u00a02 se pas\u00f3 a la propiedad del objeto <span style=\"font-family: 'courier new', courier, monospace;\"><em>nameNoIndexes<\/em><\/span>, como se muestra en el c\u00f3digo de explotaci\u00f3n de la Figura\u00a04. M\u00e1s adelante, este objeto invoca el m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\"><em>evaluate<\/em><\/span> de <span style=\"font-family: 'courier new', courier, monospace;\">Geotools<\/span>.<\/p>\n<figure id=\"attachment_155723\" aria-describedby=\"caption-attachment-155723\" style=\"width: 985px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155723 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-978689-155689-4.png\" alt=\"Captura de pantalla del c\u00f3digo en un IDE con resaltado de sintaxis, representaci\u00f3n de m\u00e9todos y gesti\u00f3n de excepciones relacionadas con las propiedades de los atributos. En la imagen se observan varias l\u00edneas de c\u00f3digo con comentarios e indicadores de error.\" width=\"985\" height=\"264\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-978689-155689-4.png 985w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-978689-155689-4-786x211.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-978689-155689-4-768x206.png 768w\" sizes=\"(max-width: 985px) 100vw, 985px\" \/><figcaption id=\"caption-attachment-155723\" class=\"wp-caption-text\">Figura 4. La carga malintencionada se env\u00eda a un m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">Geotools<\/span> no seguro.<\/figcaption><\/figure>\n<p>Tenga en cuenta que hemos entrado en el c\u00f3digo base de <a href=\"https:\/\/geotools.org\/\" target=\"_blank\" rel=\"noopener\">GeoTools<\/a>. El m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">evaluate<\/span> recupera el valor del atributo <span style=\"font-family: 'courier new', courier, monospace;\">Geotools<\/span> del objeto dado. En este m\u00e9todo, se utiliza un objeto <span style=\"font-family: 'courier new', courier, monospace;\"><em>PropertyAccessor<\/em> <\/span>para leer la propiedad. En la Figura\u00a05 se muestra que <span style=\"font-family: 'courier new', courier, monospace;\"><em>PropertyAccessor<\/em><\/span> es una interfaz central que define operaciones para leer y escribir valores de propiedad de un objeto. GeoTools intentar\u00e1 encontrar un <span style=\"font-family: 'courier new', courier, monospace;\"><em>accesor<\/em> <\/span>basado en los par\u00e1metros proporcionados.<\/p>\n<figure id=\"attachment_155734\" aria-describedby=\"caption-attachment-155734\" style=\"width: 834px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155734 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-981667-155689-5.png\" alt=\"Captura de pantalla del c\u00f3digo en un programa IDE, con varios m\u00e9todos y sentencias if-else (si-entonces), con n\u00fameros de l\u00ednea y resaltado de sintaxis. La l\u00ednea PropertyAccessors aparece resaltada.\" width=\"834\" height=\"353\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-981667-155689-5.png 834w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-981667-155689-5-786x333.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-981667-155689-5-768x325.png 768w\" sizes=\"(max-width: 834px) 100vw, 834px\" \/><figcaption id=\"caption-attachment-155734\" class=\"wp-caption-text\">Figura 5. La carga malintencionada se env\u00eda al m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">findPropertyAccessors<\/span> del objeto <span style=\"font-family: 'courier new', courier, monospace;\">PropertyAccessor<\/span>.<\/figcaption><\/figure>\n<p>Una vez que se ha encontrado correctamente un <span style=\"font-family: 'courier new', courier, monospace;\"><em>accesor<\/em><\/span>, utilizar\u00e1 el m\u00e9todo get del objeto para recuperar el valor de la propiedad. En la Figura\u00a06 se muestra que nuestra carga \u00fatil se ha transferido a ese m\u00e9todo a trav\u00e9s del par\u00e1metro <span style=\"font-family: 'courier new', courier, monospace;\"><em>attPath<\/em>.<\/span><\/p>\n<figure id=\"attachment_155745\" aria-describedby=\"caption-attachment-155745\" style=\"width: 845px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155745 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-984617-155689-6.png\" alt=\"Captura de pantalla de una pantalla de computadora en la que se muestra c\u00f3digo en un IDE, con funciones y propiedades escritas en un lenguaje de programaci\u00f3n, centrada en un m\u00e9todo denominado 'getAttributeExpression'.\" width=\"845\" height=\"481\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-984617-155689-6.png 845w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-984617-155689-6-773x440.png 773w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-984617-155689-6-768x437.png 768w\" sizes=\"(max-width: 845px) 100vw, 845px\" \/><figcaption id=\"caption-attachment-155745\" class=\"wp-caption-text\">Figura 6. Se transfiere una carga malintencionada a <span style=\"font-family: 'courier new', courier, monospace;\">attPath<\/span>.<\/figcaption><\/figure>\n<p>El m\u00e9todo get del objeto invoca la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/commons.apache.org\/proper\/commons-jxpath\/apidocs\/org\/apache\/commons\/jxpath\/ri\/JXPathContextReferenceImpl.html#iteratePointers(java.lang.String)\" target=\"_blank\" rel=\"noopener\"><em>iteratePointers<\/em><\/a>.<\/span> de la biblioteca JXPath. Como se muestra en la Figura\u00a07, se inyecta una carga \u00fatil en la variable <span style=\"font-family: 'courier new', courier, monospace;\"><em>xpath<\/em><\/span>, que luego se transfiere al m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\"><em>context.iteratePointers<\/em><\/span>.<\/p>\n<figure id=\"attachment_155756\" aria-describedby=\"caption-attachment-155756\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155756 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-988402-155689-7.png\" alt=\"Captura de pantalla del c\u00f3digo inform\u00e1tico en un entorno de desarrollo integrado, relacionado con las solicitudes HTTP y la gesti\u00f3n de errores.\" width=\"1000\" height=\"216\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-988402-155689-7.png 1414w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-988402-155689-7-786x170.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-988402-155689-7-768x166.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155756\" class=\"wp-caption-text\">Figura 7. Funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">iteratePointers<\/span> de JXPath.<\/figcaption><\/figure>\n<p>La funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\"><em>ExtensionFunction<\/em> <\/span>se ha manipulado y utiliza <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/commons.apache.org\/proper\/commons-jxpath\/apidocs\/org\/apache\/commons\/jxpath\/ri\/JXPathContextReferenceImpl.html#iteratePointers(java.lang.String)\" target=\"_blank\" rel=\"noopener\"><em>computeValue<\/em><\/a><\/span> para evaluar la expresi\u00f3n. Como se muestra en la Figura 8, la variable de funci\u00f3n ahora apunta directamente a <span style=\"font-family: 'courier new', courier, monospace;\"><em>javax.lang.Runtime.exec<\/em><\/span>, que es el m\u00e9todo est\u00e1ndar de Java para ejecutar comandos del sistema operativo. Los par\u00e1metros que se transfieren a esta funci\u00f3n incluyen el comando del atacante, y la l\u00ednea resaltada ejecuta el comando.<\/p>\n<figure id=\"attachment_155767\" aria-describedby=\"caption-attachment-155767\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155767 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-991429-155689-8.png\" alt=\"Captura de pantalla de una interfaz de programaci\u00f3n en un IDE en el que se muestra c\u00f3digo HTML y JavaScript.\" width=\"1000\" height=\"95\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-991429-155689-8.png 1593w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-991429-155689-8-786x75.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-991429-155689-8-768x73.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-991429-155689-8-1536x147.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155767\" class=\"wp-caption-text\">Figura 8. Ejecuci\u00f3n de c\u00f3digo malintencionado.<\/figcaption><\/figure>\n<h2><a id=\"post-155689-_heading=h.8tai4xfeoh12\"><\/a>Servidores vulnerables expuestos<\/h2>\n<p>Seg\u00fan los datos de telemetr\u00eda de Cortex Xpanse de marzo y abril de 2025, se detectaron 7126\u00a0instancias de GeoServer expuestas p\u00fablicamente en 99\u00a0pa\u00edses. En la Figura\u00a09 se muestran los cinco\u00a0pa\u00edses donde se alojan la mayor\u00eda de estas instancias. La mayor\u00eda de los servidores expuestos se alojan en China.<\/p>\n<figure id=\"attachment_152674\" aria-describedby=\"caption-attachment-152674\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152674 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7.png\" alt=\"Gr\u00e1fico de barras donde se observa la distribuci\u00f3n de GeoServers expuestos entre los cinco\u00a0pa\u00edses principales. China tiene el recuento m\u00e1s alto, por encima de los 2500, seguida de Estados Unidos, Alemania, Gran Breta\u00f1a y Singapur, con recuentos significativamente m\u00e1s bajos.\" width=\"1000\" height=\"619\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7-711x440.png 711w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7-1131x700.png 1131w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7-768x475.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-7-1536x950.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-152674\" class=\"wp-caption-text\">Figura 9. Distribuci\u00f3n expuesta de GeoServer en los cinco pa\u00edses donde se aloja con mayor frecuencia.<\/figcaption><\/figure>\n<h2><a id=\"post-155689-_heading=h.hahgq8kvr8aj\"><\/a>An\u00e1lisis de la cadena de ataques<\/h2>\n<p>Hemos detectado varias estrategias de explotaci\u00f3n distintas en esta campa\u00f1a. Todas las estrategias tienen como objetivo implementar y ejecutar un SDK en el sistema de la v\u00edctima. Este an\u00e1lisis revisa una variante del SDK que hemos designado como <span style=\"font-family: 'courier new', courier, monospace;\">z593<\/span>. En la Figura\u00a010 se muestra que la primera\u00a0etapa se aprovecha de CVE-2024-36401 para descargar la carga \u00fatil de la segunda\u00a0etapa <span style=\"font-family: 'courier new', courier, monospace;\">z593<\/span> desde un host malintencionado bajo el control del atacante.<\/p>\n<figure id=\"attachment_155789\" aria-describedby=\"caption-attachment-155789\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155789 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10.png\" alt=\"Imagen donde aparece un fragmento de c\u00f3digo en formato XML, relacionado con WFS e incluye referencias a ejecutables de Java\u00a0Runtime y rutas del sistema. El fondo visual del \u00e1rea de codificaci\u00f3n es oscuro, con el texto resaltado en verde, rojo, amarillo y blanco.\" width=\"1000\" height=\"218\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10-786x171.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10-1920x418.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10-768x167.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-998896-155689-10-1536x335.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155789\" class=\"wp-caption-text\">Figura 10. Etapa 1: el exploit inicial utilizado para descargar la carga \u00fatil de la segunda etapa.<\/figcaption><\/figure>\n<p>Durante la segunda etapa, el atacante vuelve a utilizar CVE-2024-36401 para ejecutar la carga \u00fatil de segunda etapa <span style=\"font-family: 'courier new', courier, monospace;\">z593<\/span>, como se muestra en la Figura\u00a011.<\/p>\n<figure id=\"attachment_155800\" aria-describedby=\"caption-attachment-155800\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155800 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-1963-155689-11.png\" alt=\"Captura de pantalla donde se muestra el c\u00f3digo XML relacionado con un WFS con URL de espacio de nombres y una consulta a trav\u00e9s de un entorno de ejecuci\u00f3n Java.\" width=\"1000\" height=\"243\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-1963-155689-11.png 1678w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-1963-155689-11-786x191.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-1963-155689-11-768x187.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-1963-155689-11-1536x373.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155800\" class=\"wp-caption-text\">Figura 11. Etapa 2: el exploit que ejecuta la carga \u00fatil de la segunda etapa.<\/figcaption><\/figure>\n<p>En lugar de utilizar un servidor web HTTP est\u00e1ndar, los atacantes implementaron instancias privadas de un servidor para compartir archivos mediante <a href=\"https:\/\/github.com\/dutchcoders\/transfer.sh?tab=readme-ov-file#transfersh---\" target=\"_blank\" rel=\"noopener\">transfer.sh<\/a> para distribuir sus cargas \u00fatiles. Como se muestra en la Figura 12, la instancia de transfer.sh est\u00e1 alojada en una de las direcciones IP de distribuci\u00f3n del atacante.<\/p>\n<p><figure id=\"attachment_155811\" aria-describedby=\"caption-attachment-155811\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155811 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-5020-155689-12.png\" alt=\"Captura de pantalla de un sitio web titulado &quot;F\u00e1cil intercambio de archivos desde la l\u00ednea de comandos&quot; que contiene ejemplos de comandos para cargar archivos y un \u00e1rea para arrastrar y soltar archivos, con un bot\u00f3n &quot;M\u00e1s informaci\u00f3n&quot; en la parte inferior. La direcci\u00f3n IP se encuentra en la parte superior izquierda. \" width=\"1000\" height=\"496\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-5020-155689-12.png 1427w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-5020-155689-12-786x390.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-5020-155689-12-1411x700.png 1411w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-5020-155689-12-768x381.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155811\" class=\"wp-caption-text\">Figura 12. Captura de pantalla de la p\u00e1gina de \u00edndice de un servidor Transfer.sh que los atacantes alojaron en <span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52:8080<\/span>.<\/figcaption><\/figure>Las implementaciones indicadas en la Figura\u00a012 estaban conectadas al puerto\u00a08080 en dos direcciones IP bajo el control de los atacantes:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">37.187.74[.]75<\/span><\/li>\n<\/ul>\n<p>Si el exploit inicial tiene \u00e9xito, el script act\u00faa como un stager, obteniendo dos archivos adicionales, como se muestra en la Figura\u00a013.<\/p>\n<p><figure id=\"attachment_155822\" aria-describedby=\"caption-attachment-155822\" style=\"width: 635px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155822 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-8062-155689-13.png\" alt=\"Pantallazo de una terminal inform\u00e1tica que muestra comandos para descargar archivos por medio de wget desde direcciones IP espec\u00edficas.\" width=\"635\" height=\"97\" \/><figcaption id=\"caption-attachment-155822\" class=\"wp-caption-text\">Figura 13. Contenido del archivo <span style=\"font-family: 'courier new', courier, monospace;\">z593<\/span> de<span style=\"font-family: 'courier new', courier, monospace;\"> 64.226.112[.]52<\/span> que dirige a archivos adicionales.<\/figcaption><\/figure>El primer script mencionado en la Figura\u00a013 es <span style=\"font-family: 'courier new', courier, monospace;\">z401,<\/span> que est\u00e1 dise\u00f1ado para actuar de forma sigilosa, creando un directorio oculto y colocando el ejecutable principal dentro de \u00e9l, tal y como se muestra en la Figura\u00a014.<\/p>\n<p><figure id=\"attachment_155833\" aria-describedby=\"caption-attachment-155833\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155833 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-10844-155689-14.png\" alt=\"Captura de pantalla de un terminal inform\u00e1tico que muestra comandos del shell de Unix para eliminar, crear y navegar por directorios, junto con un comando para descargar un archivo por wget desde una direcci\u00f3n IP espec\u00edfica.\" width=\"1000\" height=\"331\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-10844-155689-14.png 1118w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-10844-155689-14-786x260.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-10844-155689-14-768x254.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155833\" class=\"wp-caption-text\">Figura 14. Contenido de <span style=\"font-family: 'courier new', courier, monospace;\">z401<\/span> desde <span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52<\/span>.<\/figcaption><\/figure>En la Figura 15 se muestra c\u00f3mo el segundo script de la Figura 13, <span style=\"font-family: 'courier new', courier, monospace;\">z402<\/span>, establece el entorno y, a continuaci\u00f3n, inicia el ejecutable principal, pas\u00e1ndole la clave de la aplicaci\u00f3n.<\/p>\n<p><figure id=\"attachment_155844\" aria-describedby=\"caption-attachment-155844\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155844 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-14141-155689-15.png\" alt=\"Texto que aparece en una ventana de terminal donde se observa una interfaz de l\u00ednea de comandos con el c\u00f3digo relacionado con la configuraci\u00f3n de una variable de entorno denominada 'PATH'.\" width=\"1000\" height=\"111\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-14141-155689-15.png 1824w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-14141-155689-15-786x87.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-14141-155689-15-768x85.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-14141-155689-15-1536x170.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-155844\" class=\"wp-caption-text\">Figura 15. Contenido de <span style=\"font-family: 'courier new', courier, monospace;\">z402<\/span> desde <span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52<\/span>.<\/figcaption><\/figure>Una vez en ejecuci\u00f3n, el archivo ejecutable opera de forma encubierta en segundo plano, supervisando los recursos del dispositivo y compartiendo il\u00edcitamente el ancho de banda de la v\u00edctima siempre que sea posible. Esto genera ingresos pasivos para el atacante.<\/p>\n<p>Los archivos ejecutables de estos intentos de explotaci\u00f3n est\u00e1n dise\u00f1ados para interactuar con dos servicios leg\u00edtimos: la aplicaci\u00f3n mal utilizada y el SDK mal utilizado. Ambos servicios ofrecen leg\u00edtimamente a los usuarios una forma de generar ingresos pasivos compartiendo los recursos de red de los dispositivos inactivos.<\/p>\n<p>En este contexto, los atacantes se apropian de la funcionalidad de la aplicaci\u00f3n o del SDK. De forma similar a como los mineros de criptomonedas se apropian de los recursos del sistema para obtener ingresos, estas aplicaciones explotadas tambi\u00e9n utilizan los recursos del dispositivo para obtener beneficios econ\u00f3micos. Sin embargo, a diferencia de los mineros malintencionados de criptomonedas, este tipo de uso indebido de aplicaciones o SDK suele ser menos visible. Esto atrae menos atenci\u00f3n y genera menores beneficios para el actor de amenazas, lo que puede contribuir a que las operaciones se prolonguen y pasen desapercibidas.<\/p>\n<h3><a id=\"post-155689-_heading=h.9wzwd6t7sgw9\"><\/a><strong>An\u00e1lisis de aplicaciones mal utilizadas<\/strong><\/h3>\n<p>Si profundizamos en el an\u00e1lisis del binario que los atacantes instalaron en el servidor de la v\u00edctima, vemos que usaron <a href=\"https:\/\/github.com\/dart-lang\" target=\"_blank\" rel=\"noopener\">Dart<\/a>, como se muestra en la Figura\u00a016. Dart es un lenguaje de programaci\u00f3n de c\u00f3digo abierto. Dos\u00a0razones clave probablemente motivaron esta elecci\u00f3n:<\/p>\n<ul>\n<li>Monetizaci\u00f3n a trav\u00e9s del SDK: los atacantes utilizaron Dart para integrar el SDK de ingresos pasivos e interactuar con su servicio. Esta interacci\u00f3n est\u00e1 dise\u00f1ada para garantizar la generaci\u00f3n y recaudaci\u00f3n de fuentes de ingresos pasivos para el actor de amenazas.<\/li>\n<li>Capacidad multiplataforma para Linux: los atacantes tambi\u00e9n aprovecharon la portabilidad inherente de Dart. Aprovecharon esta caracter\u00edstica para compilar el ejecutable espec\u00edficamente para arquitecturas de sistemas Linux con el fin de ampliar sus posibles entornos objetivo.<\/li>\n<\/ul>\n<p>La adopci\u00f3n de Dart para estos fines es digna de admiraci\u00f3n, ya que puede representar un intento de evadir potencialmente las firmas de detecci\u00f3n centradas principalmente en lenguajes m\u00e1s com\u00fanmente asociados con el malware.<\/p>\n<figure id=\"attachment_155855\" aria-describedby=\"caption-attachment-155855\" style=\"width: 710px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-155855 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-17156-155689-16.png\" alt=\"Captura de pantalla de una interfaz de programaci\u00f3n inform\u00e1tica que incluye una lista de c\u00f3digos y funciones principalmente relacionados con el lenguaje de programaci\u00f3n Dart. Resalta una cadena espec\u00edfica. \" width=\"710\" height=\"400\" \/><figcaption id=\"caption-attachment-155855\" class=\"wp-caption-text\">Figura 16. Binario que utiliza Dart para ofrecer capacidad multiplataforma.<\/figcaption><\/figure>\n<h3><a id=\"post-155689-_heading=h.9tmmz8dnu2t0\"><\/a><strong>An\u00e1lisis del SDK mal utilizado<\/strong><\/h3>\n<p>Para verificar la naturaleza del componente SDK utilizado en esta campa\u00f1a, comparamos el binario SDK mal utilizado empleado por el ataque de la amenaza y la versi\u00f3n oficial del SDK del sitio web del proveedor. Nuestro an\u00e1lisis confirm\u00f3 que los dos archivos son id\u00e9nticos. Esto sugiere que los atacantes est\u00e1n utilizando un SDK leg\u00edtimo y sin modificar, que podr\u00eda eludir la detecci\u00f3n de los endpoints.<\/p>\n<h2><a id=\"post-155689-_heading=h.87rw9dtf1kui\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Esta campa\u00f1a en curso muestra una evoluci\u00f3n significativa en la forma en que los adversarios monetizan los sistemas vulnerados. La estrategia principal de los atacantes se centra en la monetizaci\u00f3n sigilosa y persistente, en lugar de la explotaci\u00f3n agresiva de recursos. Lo consiguen mediante la implementaci\u00f3n de ejecutables que explotan servicios leg\u00edtimos de ingresos pasivos, y utilizan discretamente los recursos del dispositivo para actividades como compartir ancho de banda. Este enfoque favorece la generaci\u00f3n de ingresos a largo plazo y de bajo perfil frente a t\u00e9cnicas de f\u00e1cil detecci\u00f3n.<\/p>\n<p>Para combatir esta amenaza, recomendamos encarecidamente aplicar los parches y actualizaciones siempre que sea posible.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra vulnerabilidades y malware gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">La prevenci\u00f3n avanzada de amenazas (ATP)<\/a> puede bloquear los ataques con las mejores pr\u00e1cticas mediante las firmas de prevenci\u00f3n de amenazas 95463. Adem\u00e1s, la ATP incluye protecci\u00f3n basada en el aprendizaje autom\u00e1tico que puede detectar el tr\u00e1fico de exploits en tiempo real.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">El WildFire avanzado<\/a> puede impedir que se transfiera el ejecutable personalizado.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">El filtrado de URL avanzado<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">la seguridad de DNS avanzada<\/a> pueden bloquear las URL personalizadas de alojamiento de ejecutables del dominio C2.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-155689-_heading=h.d39qwvw151b\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<h3><a id=\"post-155689-_heading=h.ltyqeskvxr7l\"><\/a>Direcciones IP y puertos TCP utilizados para la infraestructura de la campa\u00f1a<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">37.187.74[.]75:8080<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64.226.112[.]52:8080<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-155689-_heading=h.1ayigx2g77si\"><\/a>Artefactos de campa\u00f1a<\/h3>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Hash SHA256 del archivo<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>URL contactada por el archivo<\/strong><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">89f5e7d66098ae736c39eb36123adcf55851268973e6614c67e3589e73451b24<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/w1wOYGVLEX\/a101<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">6db4b685f413a3e02113677eee10a29c7406414f7f4da611f31d13e3f595f85d<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/IyxzymKCp2\/a102<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4e4a467abe1478240cd34a1deaef019172b7834ad57d46f89a7c6c357f066fdb<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/cE58oqrYGO\/a193<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4e40a0df8f4ba4a87ab8fc64950c67f6725a7e8f14a0a84a4ed79b3a8924ba19<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/YDjV1ocro3\/a401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">663970530e764f91b0be43936331e6c0a93610db6b86c6c4b64de270ae4d4630<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/3g5eBN8nqv\/a402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7c18fe9da63c86f696f9ad7b5fcc8292cac9d49973ba12050c0a3a18b7bd1cc9<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/JadF0ucQNf\/a593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">84ee11f40da3538e4601456912c3efa0e92a903948812fd17fe650c5f7ac33ad<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/Do4YwzvAJN\/alog<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0971264967ba8d461ce98f86b90810493c5e22fc80bf61f0d0eb7a2599a7f77a<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/DQ5ydzkPnK\/c401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">491f5af9d29f52a6df026159a8ebd27ee6e27151ea78c4782eb05b2c5d39bfc3<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/a8HejAHngH\/c402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a852133ff7f24b14e4224e7052f6d309353b4838fe5f17d25c712d7a1dd6e80a<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/vLs5vxpDgV\/c593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b66c64ccd7b9c96fad53f6d3aa0441e46eca899ad8d97964573e41c94fccddba<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/KaMJw2fsDW\/d101<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">f340abe5689e51cf78b10165cb93ab8a2988d0fedd0e74c74fc23ac2dca93a13<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/TMuAS1wp8m\/d102<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fc28f97f818d07fd8824333de26e5a0ca0d3fe7233d86f7e227e4838cfea0ca4<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/iKA3jGXk6x\/d193<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7c0c69aa0dcfc937c1fef8d42c74f7e46d128898c1d99d3362f2d18397be36ae<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/fK4SCflkNg\/d401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">33aad585d6280d1921b5f46f8894ee05d426c7751c2133ed5484bf65af587576<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/Y1WT747MRP\/d402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2c5581572ec4877df8ec3e5d2b30bfff5718ecd27d8b3dbe2f393aa5821e7ddd<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/H0cwXMzCrJ\/d593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0e2b92991186bc8a817e0187a9b58928969350bc8d8ad7e6b6cd91c185a7e03c<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/XA8Dkr1CJ4\/dlog<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">5bc5dfeaeb43fb1e967cad028f8d2c48f5db17ee6c23c383faee74455c2f1f33<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/52F6SqfuuS\/e101<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">8b25144ad17d023f67477be4791db45d9197d7cfb666b3a5ccc1b1c0e4bae3af<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/7kS5qiHwg8\/e102<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">8aafb9965e946e5d4be085a1373abc750a1488ff78e6e082cc36ff20ff328465<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/ei0Ul7l75J\/e193<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a13a07d15d94c996d8b7e8ed633073f6a3e2268a8d14363f16ad48160b85df08<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/kGQtGhOpCP\/elog<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">cdae958629383c4dba22a115615d8a63211bbccb06335cd1c4b5e2c2aa3fee77<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/wHNOFLazdK\/glog (from d401)<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">bbdda70f0c4a3de4ec955e134ad46895ac931e21b930837a85633277128ab7d2<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/wlLiXFNtjU\/hlog (from c401)<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4fd789a19db35e054a5135466d610452bea607a11b7ec765b5474847c22e637c<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/gmhm4lmSLO\/plog (from z401)<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">43b49294b778d4489c69922ff3aca27964a04e0f08bcc830108dc83261a0b205<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/QF8plwpY8Y\/s401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ae706c149497c2fc809682e8827996ea3ceb7bcecddd87be7543d1dca4853470<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/zJ03zmSrz6\/s402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">3fd7794be80782b11a09f51ac8cbf2147e9d79303923f279d610ee45e12506eb<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/22mINruojN\/s593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">e25d6134c6a0573ded1d340f609dd71d15934ca165ea79d47898aa37a5185415<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/3pHrSu54Pf\/slog (from s401)<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">085da541d7555ac6afcacd5899027c3fa4132c1eccfb3d8223794c4e0e3eb361<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/vPN5rgRMTz\/wlog (from a401)<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2aa6f95dbe8d17e8e70db677808c96ee956c36b7cc8f274435173cfed0b1f5af<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/T8VevroEJT\/z401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2b176eb8afa0b089ee8fb072c68c6fdcfe4b2f034c776cc32064f26c0e6c69a3<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/uCX4Nl2Pwu\/z402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">915d1bb1000a8726df87e0b15bea77c5476e3ec13c8765b43781d5935f1d2609<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/37.187.74[.]75:8080\/3twwHaJzxo\/z593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fa2687f94955fbdc2c41f1cff8c7df24937aeb942e4d7856bf2ff52ebf2e61aa<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/MFTYFuqKGU\/a401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">663970530e764f91b0be43936331e6c0a93610db6b86c6c4b64de270ae4d4630<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/cxtpjeM3KU\/a402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">e0b886a39cf098a3c7daa021c7af022b0ceb6edcf3fa49e3c3b8f70b843423c2<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/XEQS3MTzdS\/a593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">9515df36a6d16c0a9fcca680d6b181539d80efd4cda85dacbfb30127a7f11736<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/fAFUQgw7Py\/c401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">491f5af9d29f52a6df026159a8ebd27ee6e27151ea78c4782eb05b2c5d39bfc3<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/0rX20C97S6\/c402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b381e8355cf3a432e63064897cc7719e8b9c38e91c6151cd1e7aed4cd219a75b<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/LuoHgydq6F\/c593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">dec84a568b6393ccd863bb38851a76f54de6f59193660e4b88aa1f941b744469<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/g1Gl1JWEUw\/d401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">33aad585d6280d1921b5f46f8894ee05d426c7751c2133ed5484bf65af587576<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/AORGz7zIzn\/d402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7620f22a5ed1a8ac2a1da732e55e14a13197b631e5abba6431f88e5cfa3ae2de<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/rKS64mUmF7\/d593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">3d7ac752bb0d54802f2def38f44e10854f70ab5a9a001b5c39ab0531b9ed74bf<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/vbbdG8dpAw\/s401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ae706c149497c2fc809682e8827996ea3ceb7bcecddd87be7543d1dca4853470<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/W7lJoMcuOu\/s402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">6dd6751bae92dfa504f0ad5558ab8adfdfba3df5a7f218245627574bfac39f11<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/6mXfFz7ltE\/s593<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">357ca4ad31132ad4bd605e3217968819b04d577884a4e9dd760ed0182c4609ed<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/YbEYCqCFVl\/z401<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2b176eb8afa0b089ee8fb072c68c6fdcfe4b2f034c776cc32064f26c0e6c69a3<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/1Vt9KBLEFr\/z402<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">97c8ec63766ce63b8ace283928922cfceb7c8f3bc72edcbd255e157a1afb15fe<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/64.226.112[.]52:8080\/09KvYAUSHm\/z593<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><a id=\"post-155689-_heading=h.fiqf4affruxy\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/commons.apache.org\/proper\/commons-jxpath\/\" target=\"_blank\" rel=\"noopener\">El componente JXPath<\/a> - Apache Commons<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.<\/p>\n","protected":false},"author":278,"featured_media":152575,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8856],"tags":[9506],"product_categories":[8922,8923,8924,8925,8921,8932,8937,8890],"coauthors":[836,3736,3549,2070],"class_list":["post-155689","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-vulnerabilities-es-la","tag-cve-2024-36401-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xpanse-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda<\/title>\n<meta name=\"description\" content=\"Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda\" \/>\n<meta property=\"og:description\" content=\"Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-08-21T18:47:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-04T20:28:31+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Zhibin Zhang, Yiheng An, Chao Lei, Haozhe Zhang\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda","description":"Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/","og_locale":"es_LA","og_type":"article","og_title":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda","og_description":"Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/","og_site_name":"Unit 42","article_published_time":"2025-08-21T18:47:38+00:00","article_modified_time":"2025-09-04T20:28:31+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Zhibin Zhang, Yiheng An, Chao Lei, Haozhe Zhang","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/"},"author":{"name":"Zhibin Zhang","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ef2736b38e39c269e59b3d79094883da"},"headline":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda","datePublished":"2025-08-21T18:47:38+00:00","dateModified":"2025-09-04T20:28:31+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/"},"wordCount":3960,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg","keywords":["CVE-2024-36401"],"articleSection":["Investigaci\u00f3n de amenazas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/","name":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg","datePublished":"2025-08-21T18:47:38+00:00","dateModified":"2025-09-04T20:28:31+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ef2736b38e39c269e59b3d79094883da"},"description":"Una campa\u00f1a se aprovecha de CVE-2024-36401 para monetizar de forma sigilosa el ancho de banda de las v\u00edctimas, donde se implementan kits de desarrollo de software (SDK) leg\u00edtimos para obtener ingresos pasivos.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/06_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of CVE-2024-36401. Digital illustration of a map of North America with interconnected glowing lines and dots symbolizing network connections across the continent."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/attackers-sell-your-bandwidth-using-sdks\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Su conexi\u00f3n, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ef2736b38e39c269e59b3d79094883da","name":"Zhibin Zhang","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Zhibin Zhang"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/zhibin-zhang\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/155689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/278"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=155689"}],"version-history":[{"count":3,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/155689\/revisions"}],"predecessor-version":[{"id":155874,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/155689\/revisions\/155874"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/152575"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=155689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=155689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=155689"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=155689"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=155689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}