Descubrimiento y alcance del grupo TGR-STA-1030
Un grupo de ciberespionaje previamente desconocido, de origen asiático, ha vulnerado las redes de al menos 70 organismos gubernamentales y de infraestructura crítica en 37 países en el último año, según reveló Palo Alto Networks Unit 42. Además, se ha observado al grupo realizando reconocimiento activo contra infraestructuras gubernamentales de 155 países entre noviembre y diciembre de 2025. Entre las entidades comprometidas se incluyen cinco agencias de control fronterizo y aplicación de la ley, tres ministerios de finanzas y otros ministerios y departamentos relacionados con funciones económicas, comerciales, de recursos naturales y diplomáticas.
El grupo es rastreado por la compañía de ciberseguridad bajo la designación TGR-STA-1030, donde 'TGR' indica un grupo temporal y 'STA' motivación estatal. Hay evidencia de que el actor de amenazas ha estado activo desde enero de 2024. Aunque el país de origen no está claro, se evalúa que es asiático, basándose en el uso de herramientas y servicios regionales, preferencias de idioma, objetivos coherentes con eventos e inteligencia de interés para la región, y su horario operativo GMT+8.
Técnicas de ataque y datos exfiltrados
Pete Renals, director de Programas de Seguridad Nacional de Unit 42, confirmó que el grupo accedió y exfiltró datos sensibles de servidores de correo electrónico de las víctimas. La información sustraída incluye negociaciones y contratos financieros, datos bancarios y de cuentas, y actualizaciones operativas críticas de índole militar. Las cadenas de ataque comienzan con correos de phishing que dirigen a las víctimas a un enlace al servicio de alojamiento de archivos MEGA, con sede en Nueva Zelanda. El enlace aloja un archivo ZIP que contiene un ejecutable llamado Diaoyu Loader y un archivo de cero bytes llamado 'pic1.png'.
El malware emplea una guardia de ejecución de doble etapa para eludir el análisis automatizado en entornos sandbox. Además del requisito de una resolución de pantalla horizontal mayor o igual a 1440, la muestra realiza una verificación de dependencia ambiental de un archivo específico (pic1.png) en su directorio de ejecución. La imagen PNG actúa como una comprobación de integridad basada en archivos; si no está presente, el malware se termina antes de desplegar su comportamiento malicioso. Solo si se cumple esta condición, el malware verifica la presencia de programas de seguridad específicos de Avira, Bitdefender, Kaspersky, Sentinel One y Symantec. Se desconoce por qué los atacantes optaron por buscar solo una selección limitada de productos.
El objetivo final del loader es descargar tres imágenes ('admin-bar-sprite.png', 'Linux.jpg' y 'Windows.jpg') desde un repositorio de GitHub llamado 'WordPress', que sirven como conducto para el despliegue de una carga útil de Cobalt Strike. La cuenta de GitHub asociada ('github[.]com/padeqav') ya no está disponible. TGR-STA-1030 también ha sido observado intentando explotar diversas vulnerabilidades de día cero parcial (N-day) en productos de software de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault y Eyou Email System para obtener acceso inicial a las redes objetivo. No hay evidencia de que el grupo haya desarrollado o utilizado exploits de día cero en sus ataques.
Herramientas y tácticas empleadas
Entre las herramientas utilizadas por el actor de amenazas se incluyen marcos de comando y control (C2), webshells y utilidades de túneles: marcos C2 como Cobalt Strike, VShell, Havoc, Sliver y SparkRAT; webshells como Behinder, neo-reGeorg y Godzilla; y tunelizadores como GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX. El uso de estas webshells se asocia frecuentemente con grupos de hackeo chinos. Otra herramienta notable es un rootkit para núcleo Linux llamado ShadowGuard, que utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para ocultar información de procesos, interceptar llamadas al sistema críticas para ocultar procesos específicos de herramientas de análisis de espacio de usuario como ps, y ocultar directorios y archivos llamados 'swsecret'.
El grupo alquila y configura rutinariamente sus servidores C2 en infraestructura propiedad de diversos proveedores de VPS legítimos y conocidos. Para conectarse a la infraestructura C2, el grupo alquila infraestructura VPS adicional que utiliza para retransmitir tráfico. El proveedor de ciberseguridad señaló que el adversario logró mantener acceso a varias de las entidades afectadas durante meses, lo que indica esfuerzos para recopilar inteligencia durante períodos prolongados.
Conclusiones y advertencias
TGR-STA-1030 sigue siendo una amenaza activa para gobiernos e infraestructura crítica en todo el mundo. El grupo apunta principalmente a ministerios y departamentos gubernamentales con fines de espionaje. Evaluamos que prioriza esfuerzos contra países que han establecido o están explorando ciertas asociaciones económicas. Si bien este grupo podría estar persiguiendo objetivos de espionaje, sus métodos, objetivos y escala de operaciones son alarmantes, con posibles consecuencias a largo plazo para la seguridad nacional y los servicios clave.
Palo Alto Networks Unit 42 advierte que la actividad del grupo representa una amenaza persistente que requiere atención continua por parte de las organizaciones gubernamentales y de infraestructura crítica a nivel global.
