Grupo alineado con China «LongNosedGoblin» utiliza Directivas de Grupo de Windows para desplegar malware de espionaje

diciembre 19, 2025

Grupo alineado con China «LongNosedGoblin» utiliza Directivas de Grupo de Windows para desplegar malware de espionaje

Resumen de la investigación

Un clúster de actividad maliciosa previamente no documentado y alineado con China, denominado LongNosedGoblin, ha sido atribuido a una serie de ataques cibernéticos dirigidos contra entidades gubernamentales en el sudeste asiático y Japón, según un informe publicado hoy por la firma eslovaca de ciberseguridad ESET. El objetivo declarado de estas intrusiones es el espionaje cibernético. ESET evalúa que la actividad del grupo está en curso como mínimo desde septiembre de 2023 y que los operadores hacen uso de Directivas de Grupo de Windows (Group Policy) para desplegar malware y mantener persistencia dentro de entornos de Active Directory.

Qué es LongNosedGoblin y por qué importa

LongNosedGoblin es la denominación que ESET ha asignado a un conjunto de tácticas, técnicas y procedimientos observados en campañas que comparten infraestructura, modus operandi y objetivos orientados a la obtención de inteligencia. Aunque la etiqueta es nueva, el patrón —orientación a objetivos gubernamentales y uso de herramientas administrativas legítimas para propósitos maliciosos— encaja en la tipología de amenazas persistentes avanzadas (APT) enfocadas en el ciberespionaje estatal.

El uso de Directivas de Grupo de Windows como vector de despliegue es especialmente relevante porque GPO es una funcionalidad nativa de Active Directory diseñada para administrar configuraciones y software en dominios Windows a gran escala. Cuando un atacante obtiene capacidad para modificar GPOs o abusar de cuentas con privilegios, puede propagar código malicioso y mantener persistencia con un alto nivel de camuflaje —las acciones pueden parecer cambios administrativos legítimos— lo que dificulta la detección y contención temprana.

Análisis técnico y comentarios para practicantes

Para equipos de seguridad y administradores, la combinación de acceso a Active Directory y manipulación de GPO constituye una de las formas más efectivas que un actor sofisticado tiene para moverse lateralmente y desplegar cargas útiles. A continuación, observaciones y acciones prácticas derivadas del informe y de prácticas reconocidas en la industria:

  • Supervisión de cambios en AD y GPO: instrumentar alertas específicas para modificaciones en objetos de Directiva de Grupo, creación o modificación de plantillas de scripts de inicio/cierre de sesión y cambios en Unidades Organizativas que puedan afectar a la aplicación de GPO.
  • Principio de menor privilegio: revisar y restringir qué cuentas pueden editar GPOs. Evitar el uso cotidiano de cuentas con privilegios elevados; separar roles administrativos y utilizar cuentas de administración dedicadas y auditadas.
  • Control de cuentas privilegiadas: implementar soluciones de administración de accesos privilegiados (PAM) y otorgar privilegios just-in-time (JIT) para reducir la ventana de abuso.
  • Endpoint detection y respuesta (EDR): desplegar y afinar EDR para detectar ejecución inusual derivada de políticas (por ejemplo, despliegues masivos de binarios o scripts a través de rutas de SYSVOL), y correlacionar con logs de autenticación y cambios en AD.
  • Segregación de redes y segmentación: limitar el alcance de compromisos de dominio mediante segmentación por funciones y limitar la exposición de controladores de dominio y servidores críticos.
  • Hunt y reglas de IOC: crear búsquedas de seguridad centradas en indicadores genéricos: ejecución de scripts desde ubicaciones de políticas de dominio, creación de tareas programadas originadas por GPO, y tráfico inusual de SMB/LDAP hacia controladores de dominio.

Acceder y modificar Directivas de Grupo permite a un atacante desplegar código en múltiples equipos gestionados de forma legítima; por tanto, la defensa debe combinar control de privilegios, monitorización de cambios y detección en endpoints.

Casos comparables y tendencias observadas

La técnica de abusar de funcionalidades administrativas legítimas —conocida como «living-off-the-land»— es una tendencia consolidada entre actores de amenazas patrocinados por estados. Grupos atribuidos a diferentes actores estatales han recurrido históricamente a herramientas administrativas y servicios nativos del sistema para limitar la firma forense y persistir en redes comprometidas.

De forma más general, las campañas de espionaje dirigidas a organismos gubernamentales y diplomáticos en Asia-Pacífico han sido recurrentes en la última década. Firmas de seguridad y agencias públicas han documentado repetidamente intrusiones con objetivos de recolección de inteligencia y exfiltración de información. En ese contexto, el descubrimiento de LongNosedGoblin representa una variante más en la evolución táctica: el foco en el abuso de GPO permite un control más amplio y discreto sobre entornos Windows gestionados centralmente.

Riesgos, implicaciones y recomendaciones estratégicas

Riesgos e implicaciones principales:

  • Compromiso a gran escala: modificaciones maliciosas en GPO pueden afectar a cientos o miles de endpoints, exponiendo información sensible y servicios críticos.
  • Detección retrasada: las acciones que parecen administrativas incrementan la probabilidad de permanecer sin detectar durante períodos largos, lo que facilita la exfiltración y la escalada.
  • Impacto en la confianza operativa: la exposición de credenciales y la manipulación de políticas socavan la integridad de la gestión del dominio y requieren restauración y verificación exhaustiva.

Recomendaciones operativas y estratégicas:

  • Realizar una revisión inmediata de permisos sobre GPOs y cuentas con capacidad de editar políticas; reducir el número de administradores de dominio.
  • Establecer procesos de cambio y aprobación con doble verificación para modificaciones en Directivas de Grupo, apoyados por registros de auditoría inmutables.
  • Implementar autenticación multifactor para cuentas administrativas y acceso a consolas de gestión de Active Directory.
  • Ejecutar ejercicios de threat hunting focalizados en la detección de despliegues por GPO, y pruebas de intrusión para validar la resiliencia de controles AD.
  • Compartir indicadores y tácticas con comunidades de intercambio de inteligencia (ISACs, CERTs) y con proveedores de seguridad para mejorar las firmas y reglas de detección.
  • Asegurar procesos de respuesta ante incidentes que incluyan limpieza de GPOs comprometidas, rotación de credenciales privilegiadas y restauración controlada de políticas desde fuentes de confianza.

Conclusión

El informe de ESET sobre LongNosedGoblin subraya una amenaza relevante para entornos gubernamentales en Asia-Pacífico: actores alineados con estados que aprovechan herramientas nativas de administración de Windows para el despliegue y la persistencia de malware de espionaje. La combinación de control de privilegios, monitorización específica de cambios en Active Directory, EDR afinado y prácticas de gestión de accesos privilegiados constituye la línea de defensa más efectiva. Para organizaciones con dominios Windows, la prioridad debe ser reducir la superficie administrativa, auditar y alertar sobre cualquier modificación en GPOs, y coordinar la respuesta con proveedores y organizaciones de inteligencia para contener y mitigar campañas en curso.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad