SOC Prime Bias: Crítico

01 Jul 2026 09:05 UTC

Panda Acuático (Earth Lusca): Campañas, Malware y TTPs

Author Photo
SOC Prime Team linkedin icon Seguir
Panda Acuático (Earth Lusca): Campañas, Malware y TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Aquatic Panda es un grupo APT alineado con China que se centra en la recopilación de inteligencia y el espionaje industrial. El grupo utiliza un arsenal diverso de malware, incluidos SprySOCKS, ShadowPad y BIOPASS RAT, para atacar industrias críticas. Sus operaciones también implican la explotación de vulnerabilidades como Log4Shell y el uso de rootkits avanzados para mantener la ocultación.

Investigación

El informe describe múltiples campañas, incluidas la Operación FishMedley y ataques que involucran servidores VMware Horizon. Examina el diseño técnico del backdoor SprySOCKS, incluidas sus funcionalidades de rootkit en modo kernel y características de persistencia. El análisis también desglosa las TTPs específicas del grupo para el acceso inicial, ejecución y evasión de defensas.

Mitigación

Las organizaciones deben validar sus defensas contra las técnicas conocidas de Aquatic Panda utilizando plataformas de simulación y pruebas. Las mitigaciones clave incluyen parches para vulnerabilidades de Log4j como CVE-2021-44228 y monitoreo de tareas programadas no autorizadas o cambios sospechosos en servicios de Windows. Una fuerte detección de endpoints también es esencial para identificar la actividad de carga de DLL y la inyección de procesos.

Respuesta

Si se detecta actividad de Aquatic Panda, los respondedores deben aislar los sistemas afectados inmediatamente para detener el movimiento lateral. Las investigaciones deben centrarse en cambios no autorizados en el registro, especialmente dentro de los procesadores de impresión o configuraciones IFEO. El análisis forense debe dar prioridad a la recopilación de memoria de procesos sospechosos y auditoría de tareas programadas y servicios de Windows.

"flowchart TD step_resource_development["Desarrollo de Recursos: Registro de dominios de homoglifos y puesta en escena de herramientas JNDI/Log4Shell"] step_initial_access["Acceso Inicial: Explotación de Log4j (CVE-2021-44228) en VMware Horizon"] step_execution["Ejecución: Descarga de PowerShell, cmd/C con curl/wget, Tareas Programadas y Servicios de Windows"] step_persistence["Persistencia: Creación de Servicios de Windows, Tareas Programadas y registro de DLL de Procesadores de Impresión"] step_privilege_escalation["Escalada de Privilegios: Inyección IFEO y Manipulación de Token de Acceso vía CreateProcessAsUserW"] step_defense_impairment["Impugnación de Defensa: Modificación del Firewall del Host de Windows con suplantación ICMPv6"] step_credential_access["Acceso a Credenciales: Volcado de memoria de LSASS, robo de colmena SAM/SYSTEM, robo de credenciales del navegador y DLL de Filtro de Contraseña"] step_discovery["Descubrimiento: Enumeración de servicios, procesos, información del sistema y productos de seguridad de software"] step_collection["Colección: Registro de teclas y archivado de datos con WinRAR"] step_command_and_control["Comando y Control: TCP/UDP/WebSockets con AES-128 y Señalización de Tráfico basada en WFP"] step_stealth["Ocultamiento: Rootkit en modo kernel (RawWNPF), Inyección de Procesos, Carga de DLL y Evasión de Sandbox"] rules_for_step_stealth("<b>Nombre de la Regla</b>: Ruta de Proceso Sospechosa (vía línea de comandos)<br/><b>ID de la Regla</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltración: Transferencia de datos vía C2 o Dropbox (dbxcli)"] step_resource_development –>|lleva_a| step_initial_access step_initial_access –>|lleva_a| step_execution step_execution –>|lleva_a| step_persistence step_persistence –>|lleva_a| step_privilege_escalation step_privilege_escalation –>|lleva_a| step_defense_impairment step_defense_impairment –>|lleva_a| step_credential_access step_credential_access –>|lleva_a| step_discovery step_discovery –>|lleva_a| step_collection step_collection –>|lleva_a| step_command_and_control step_command_and_control –>|lleva_a| step_stealth step_stealth –>|lleva_a| step_exfiltration step_stealth -.->|detectado_por| rules_for_step_stealth "

Flujo de Ataque

Detecciones

Posible Compresión de Datos para Infiltración o Exfiltración (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Posible Enumeración de Servicios (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Posible Volcado SAM/SYSTEM/SECURITY (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Posible Volcado de Credenciales Usando Comsvcs.dll (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Posible volcado de credenciales usando comsvcs.dll (vía powershell)

Equipo de SOC Prime
30 Jun 2026

Modificaciones Sospechosas del Firewall vía CLI (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Cadena de Procesos del Sistema Anormal (vía creación_de_procesos)

Equipo de SOC Prime
30 Jun 2026

Posibles Características de Accesibilidad vía Abuso de Registro (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Puntos de Persistencia Posibles [ASEPs – Hive de Software/NTUSER] (vía evento_registro)

Equipo de SOC Prime
30 Jun 2026

Creación de Servicio Sospechoso para Persistencia (vía sistema)

Equipo de SOC Prime
30 Jun 2026

Operaciones de Imagen de Servicio por Proceso Raro (vía evento_registro)

Equipo de SOC Prime
30 Jun 2026

Ubicación de Ejecución de Ejecutable/Script Sospechosa vía [cmd.exe /C] (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Llamadas a Clases/Métodos .NET Sospechosos desde Powershell CommandLine (vía creación_de_procesos)

Equipo de SOC Prime
30 Jun 2026

Schtasks Apunta a Directorio / Binario / Script Sospechoso (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Ruta de Proceso Sospechosa (vía línea de comandos)

Equipo de SOC Prime
30 Jun 2026

Asignación de Memoria para Hollowing de Procesos [Windows Sysmon]

Reglas de IA de SOC Prime
30 Jun 2026

Modificaciones del Registro para Secuestro de Depuradores y Persistencia del Procesador de Impresión [Evento del Registro de Windows]

Reglas de IA de SOC Prime
30 Jun 2026

Creación de Tarea Programada y Descarga Maliciosa de PowerShell [Creación de Procesos de Windows]

Reglas de IA de SOC Prime
30 Jun 2026

## Ejecución de Simulación

Requisito previo: La Verificación de Telemetría y Línea de Base debe haber sido aprobada.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activarse con la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: Un adversario pretende realizar el hollowing de procesos para ocultar código malicioso dentro de un contenedor de proceso legítimo. Para probar si el actual (aunque imperfecto) sistema de detección se dispara, el adversario lanzará powershell.exe desde un directorio específico. Esto simula la fase inicial de un ataque de Viviendo de la Tierra (LotL) donde el adversario usa una herramienta estándar del sistema para comenzar sus actividades maliciosas, como la inyección de memoria o la extracción de credenciales. El objetivo es generar un Evento de Creación de Proceso evento donde el Imagen campo contenga una barra inversa, como se define en la lógica de detección.

  • Script de Prueba de Regresión:

     # Simulando un lanzamiento de proceso que satisface la lógica de detección (débil)
      # Esto imita el inicio de una sesión del adversario usando una herramienta estándar
      $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
      Write-Host "Ejecutando: $targetProcess"
      Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulación Activa'"
  • Comandos de Limpieza:

     # No se realizaron cambios persistentes; no se requiere limpieza para esta simulación.
      Write-Host "Limpieza de simulación completa."