​Según el artículo de Cisco Talos, desde enero de 2025 se han detectado actividades maliciosas dirigidas principalmente a organizaciones en Japón. El atacante explota la vulnerabilidad CVE-2024-4577, una falla de ejecución remota de código en la implementación de PHP-CGI en Windows, para obtener acceso inicial a las máquinas víctimas.

Una vez dentro del sistema, el atacante utiliza plugins del kit de Cobalt Strike, específicamente «TaoWu», para actividades posteriores a la explotación. Estas incluyen la escalada de privilegios utilizando herramientas como JuicyPotato, RottenPotato y SweetPotato para alcanzar niveles de acceso de SYSTEM. Además, establecen persistencia modificando claves de registro, añadiendo tareas programadas y creando servicios maliciosos. ​

Para evadir la detección, eliminan registros de eventos utilizando comandos wevtutil, borrando rastros de sus acciones en los registros de seguridad, sistema y aplicaciones de Windows. También llevan a cabo reconocimiento de red con herramientas como «fscan.exe» y «Seatbelt.exe» para identificar posibles objetivos de movimiento lateral. Asimismo, intentan abusar de los Objetos de Directiva de Grupo (GPO) mediante «SharpGPOAbuse.exe» para ejecutar scripts maliciosos de PowerShell en toda la red. Finalmente, utilizan Mimikatz para extraer y exfiltrar contraseñas y hashes NTLM de la memoria de la máquina víctima. ​

Es importante destacar que el atacante aloja una suite completa de herramientas y frameworks adversarios en un Registro de Contenedores de Alibaba Cloud, lo que resalta el potencial uso indebido de tales plataformas para fines maliciosos. Aunque se ha observado el robo de credenciales, se evalúa con confianza moderada que los objetivos del atacante van más allá de la mera recolección de credenciales, considerando actividades como la persistencia y la escalada de privilegios, lo que indica la posibilidad de ataques futuros. ​

Este incidente subraya la tendencia creciente de actores de amenazas que explotan aplicaciones públicas vulnerables para obtener acceso inicial, una actividad destacada en el informe trimestral de Respuesta a Incidentes de Talos (Talos IR) para el cuarto trimestre de 2024.