Investigadores de la firma china QiAnXin han revelado una campaña de ciberespionaje altamente sofisticada llevada a cabo por un nuevo grupo APT denominado NightEagle (también conocido como APT-Q-95). Esta amenaza persistente avanzada ha estado activa desde al menos 2023 y se especializa en el uso de vulnerabilidades zero-day para comprometer servidores Microsoft Exchange, con el objetivo de infiltrarse en sectores estratégicos de China como defensa, inteligencia artificial, semiconductores y tecnología cuántica.
🧠 Vector de ataque: Microsoft Exchange + IIS
El ataque comienza con la explotación de una vulnerabilidad no documentada en Microsoft Exchange que permite a los atacantes obtener la machineKey del servidor. Esta clave es utilizada para realizar una deserialización insegura, lo que les permite inyectar un troyano directamente en el servicio IIS (Internet Information Services) del servidor Exchange.
Una vez comprometido, el servidor permite a los atacantes leer remotamente los buzones de correo de cualquier usuario, sin necesidad de credenciales válidas.
🧰 Herramientas y técnicas
NightEagle utiliza una versión modificada de Chisel, una herramienta de túnel de red escrita en Go. Esta versión personalizada:
- Tiene parámetros de ejecución y credenciales hardcodeadas
- Establece conexiones SOCKS persistentes con el servidor C2
- Se ejecuta automáticamente cada 4 horas mediante tareas programadas
- Permite penetración de red interna sin detección
El troyano es entregado a través de un loader en .NET, que se inyecta en el proceso de IIS para mantener persistencia y sigilo.
🕵️♂️ Objetivos y atribución
Los ataques se han dirigido exclusivamente a entidades chinas de alto valor, incluyendo:
- Instituciones militares
- Empresas de semiconductores
- Laboratorios de IA y computación cuántica
- Infraestructura crítica
El grupo opera principalmente entre las 21:00 y las 06:00 hora de Beijing, lo que sugiere que podría estar basado en América del Norte, según los investigadores.
El nombre “NightEagle” hace referencia a su velocidad operativa y a su patrón nocturno de actividad.
Fuente: https://thehackernews.com/2025/07/nighteagle-apt-exploits-microsoft.html?m=1
🛡️ Recomendaciones
- Aplicar parches de seguridad en Microsoft Exchange tan pronto como estén disponibles
- Monitorizar procesos inusuales en IIS y tareas programadas sospechosas
- Revisar conexiones salientes persistentes en puertos como 443
- Implementar segmentación de red y detección de túneles tipo SOCKS
