El grupo de ciberdelincuentes UTG-Q-015, que fue identificado por primera vez en diciembre de 2024 por ataques a sitios web prominentes como CSDN, ha intensificado sus actividades maliciosas. Actualmente, el grupo se ha enfocado en servidores web gubernamentales y empresariales con un nivel de agresión sin precedentes.
Aunque inicialmente conocido por sus tácticas de manipulación de sitios web, el grupo ha evolucionado para explotar vulnerabilidades 0day y Nday, lanzando campañas generalizadas de escaneo y ataques de fuerza bruta desde marzo de 2025.
Este actor de amenazas con sede en el sudeste asiático, conocido por brindar servicios de penetración e inteligencia, ha demostrado adaptabilidad al alterar las tácticas después de la exposición, enfocándose en objetivos de alto valor como plataformas blockchain, instituciones financieras y servidores de investigación de IA.
Las operaciones de UTG-Q-015 dieron un giro amenazador en marzo de 2025 cuando implementaron una red de nodos de escaneo para ejecutar ataques de fuerza bruta en servidores web gubernamentales y empresariales de acceso público.
Al comprometer con éxito los sistemas, el grupo implementó puertas traseras Cobalt Strike y manipuló túneles nps para lograr persistencia, utilizando herramientas como fscan para movimiento lateral con credenciales recolectadas.
En abril, su arsenal se amplió para incluir exploits de Nday como CVE-2021-38647, CVE-2017-12611 y CVE-2017-9805, lo que demuestra su creciente sofisticación técnica.
Su campaña de abril también vio una operación específica de “montaje de charcos” contra sitios web relacionados con blockchain, backends de firmas digitales, sistemas Bitcoin e interfaces GitLab, lo que afectó a numerosos clientes gubernamentales y empresariales.
Las víctimas fueron atraídas a descargar cargas maliciosas desde dominios como hxxps://updategoogls.cc/tools.exe, a menudo a través de páginas de phishing incrustadas con código JavaScript engañoso en sitios de proyectos Web3 y blockchain comprometidos.
Más allá de estos sectores, UTG-Q-015 se ha infiltrado en instituciones financieras utilizando una cadena de ataque de varias etapas.
Comenzando con vulnerabilidades web desconocidas para comprometer los servidores fronterizos, emplearon phishing de mensajería instantánea para entregar archivos cebo como “confidencial XXXX.exe” al personal interno, y finalmente obtuvieron una carga útil de tercera etapa a través de servidores C2 vinculados a la intranet.
Su alcance también se extiende a las plataformas de IA basadas en Linux, explotando vulnerabilidades como CVE-2023-48022 y fallas no autorizadas en complementos de ComfyUI-Manager para cargar puertas traseras como Vshell, apuntando a servidores de investigación de IA para espionaje.
Según el Informe, este enfoque persistente en la infraestructura de IA en 2025, especialmente a través de colaboraciones APT extraterritoriales, subraya la intención estratégica detrás de sus operaciones, lo que representa un grave riesgo para los sectores críticos para la innovación.
La narrativa de los atacantes de habla china, a menudo generalizada como “CN-Nexus” por los socios internacionales, simplifica demasiado un ecosistema complejo que abarca el este y el sudeste asiático.
UTG-Q-015, si bien es un equipo profesional, opera en un panorama tenso de conflictos ideológicos y políticos, a menudo chocando con grupos regionales de subcontratación como Operation EviLoong y Operation Giant.
Sus ataques de represalia a foros de programación nacionales en 2024 reflejan rivalidades más profundas enmascaradas como “guerras de subcontratación”. Para contrarrestar estas amenazas, se recomienda encarecidamente a las entidades gubernamentales y empresariales que implementen soluciones como la detección de amenazas basada en la nube y aprovechen la capacidad de ASRock para neutralizar las herramientas utilizadas por UTG-Q-015.
Adicionalmente, las plataformas de Qi’anxin, que incluyen SkyRock, SkyEye y NGSOC, ofrecen una sólida capacidad de detección contra estas sofisticadas intrusiones.
