El nuevo ataque de Tropic Trooper utiliza Beacon Listener personalizado y túneles VS Code para acceso remoto

Recientemente ha surgido una sofisticada campaña de ciberataque vinculada al conocido grupo de amenazas Tropic Trooper, que aprovecha documentos de temática militar para atacar a personas de habla china en Taiwán, junto con personas en Corea del Sur y Japón. La campaña se descubrió el 12 de marzo de 2026, cuando los investigadores encontraron un archivo ZIP malicioso que desencadenó una cadena de ataque de varias etapas diseñada para obtener acceso remoto persistente a los sistemas comprometidos.

Los investigadores de Zscaler ThreatLabz identificaron y analizaron la campaña completa, atribuyéndola con gran confianza a Tropic Trooper, un actor de amenazas también rastreado como Earth Centaur y Pirate Panda. Notaron que el grupo usó un cargador muy parecido al cargador TOSHIS, que previamente había estado conectado a Tropic Trooper en una campaña anterior conocida como TAOTH. También se descubrió que el servidor de prueba utilizado en este ataque albergaba herramientas adicionales conocidas de Tropic Trooper, incluido un CobaltStrike Beacon con la marca de agua distintiva del grupo “520” y una backdoor EntryShell, lo que consolida aún más la atribución. En lugar de depender de puertas traseras utilizadas anteriormente como Cobalt Strike Beacon o agentes Merlin Mythic, Tropic Trooper ahora ha pasado a utilizar el marco de código abierto AdaptixC2, con un detector de baliza personalizado construido sobre él.

Cómo utiliza AdaptixC2 Beacon GitHub como su C2 El aspecto técnicamente más inventivo de esta campaña es cómo Tropic Trooper diseñó su escucha de baliza AdaptixC2 personalizada para usar GitHub como su plataforma de comando y control (C2). La publicación El nuevo ataque de Tropic Trooper utiliza un detector de balizas personalizado y túneles VS Code para acceso remoto apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗