Un actor de amenazas con afiliaciones a China ha sido vinculado a una «intrusión de múltiples ondas» dirigida a una compañía de petróleo y gas azerbaiyana no identificada entre finales de diciembre de 2025 y finales de febrero de 2026, lo que marca una expansión de sus objetivos.
La actividad ha sido atribuido por Bitdefender con confianza moderada a alta a un grupo de hackers conocido como Gorrión famoso (también conocido como UAT-9244), que comparte cierto nivel de superposición táctica con grupos rastreados bajo los apodos Earth Estries y Salt Typhoon.
El ataque allana el camino para el despliegue de dos puertas traseras distintas en tres oleadas distintas: Deed RAT (también conocido como Snappybee), un sucesor de ShadowPad que utilizan múltiples grupos de espionaje del nexo con China, y TernDoor, que fue descubierto recientemente en ataques dirigidos a infraestructuras de telecomunicaciones en América del Sur desde 2024.
Lo notable de la campaña es que aprovechó repetidamente el mismo punto de entrada vulnerable de Microsoft Exchange Server a pesar de varios intentos de remediación, intercambiando puertas traseras cada vez: Deed RAT el 25 de diciembre de 2025, TernDoor a finales de enero/principios de febrero de 2026 y un Deed RAT modificado a finales de febrero de 2026. Se estima que los atacantes explotaron la cadena ProxyNotShell para obtener acceso inicial.
«Este ataque extiende la conocida victimología de FamousSparrow a una región donde el papel de Azerbaiyán en la seguridad energética europea ha aumentado materialmente tras la expiración en 2024 del acuerdo de tránsito de gas entre Rusia y Ucrania y las interrupciones del Estrecho de Ormuz en 2026», dijo la empresa rumana de ciberseguridad en un informe compartido con The Hacker News.
«La intrusión ilustra que los actores explotarán y volverán a explotar la misma ruta de acceso hasta que se parchee la vulnerabilidad original, se roten las credenciales comprometidas y se interrumpa por completo la capacidad del atacante para regresar».
Se dice que el acceso inicial fue seguido por intentos de implementar web shells para establecer un punto de apoyo persistente y, finalmente, implementar Deed RAT utilizando una técnica evolucionada de carga lateral de DLL que aprovecha el binario legítimo de LogMeIn Hamachi para cargar y lanzar una DLL no autorizada que es responsable de ejecutar la carga útil principal.
«A diferencia de la carga lateral de DLL estándar que se basa en un simple reemplazo de archivos, este método anula dos funciones exportadas específicas dentro de la biblioteca maliciosa», explicó Bitdefender. «Esto crea un disparador de dos etapas que controla la ejecución del cargador Deed RAT a través del flujo de control natural de la aplicación host, evolucionando aún más las capacidades de evasión de defensa de la carga lateral de DLL tradicional».
También se ha descubierto que los ataques realizan movimientos laterales para ampliar su acceso dentro de la red comprometida y establecer un punto de apoyo redundante para garantizar la resiliencia en caso de que la actividad sea detectada y eliminada.
La segunda ola, por otro lado, tuvo lugar casi un mes después de la intrusión inicial, con el adversario intentando sin éxito emplear la carga lateral de DLL para soltar TernDoor mediante Mofu Loader, un cargador de código shell anteriormente atribuido a GroundPeony.
La empresa azerbaiyana fue atacada por tercera vez a finales de febrero de 2026, cuando los actores de amenazas intentaron una vez más implementar una versión modificada de Deed RAT, lo que indica esfuerzos activos para refinar y evolucionar su arsenal de malware. Este artefacto utiliza «sentinelonepro [.]com» para comando y control (C2).
«Esta intrusión no debe verse como un compromiso aislado, sino como una operación sostenida y adaptativa realizada por un actor que repetidamente buscó recuperar y ampliar el acceso dentro del entorno de la víctima», dijo Bitdefender. «A lo largo de múltiples oleadas de actividad, se revisó la misma ruta de acceso, se introdujeron nuevas cargas útiles y se establecieron puntos de apoyo adicionales, lo que subraya un alto grado de persistencia y disciplina operativa».
