APT china ataca a empresa militar filipina con el nuevo malware sin archivos EggStreme

Bitdefender descubre EggStreme, un malware sin archivos creado por una APT con sede en China que ataca al ejército filipino y a organizaciones de APAC.

Investigadores de ciberseguridad de Bitdefender han identificado un nuevo framework de malware llamado EggStreme, utilizado actualmente por un grupo APT con sede en China para espiar a organizaciones militares en la región Asia-Pacífico. El hallazgo se produjo tras una investigación sobre una vulnerabilidad en una empresa militar filipina.

Según los investigadores, el kit de herramientas de malware está diseñado como un sistema unificado, en lugar de muestras de malware independientes. Sus componentes funcionan en secuencia, comenzando con un cargador llamado EggStremeFuel, que prepara el entorno para las etapas posteriores. Finalmente, los atacantes implementan EggStremeAgent, una puerta trasera completa que puede realizar tareas de reconocimiento, robar datos, modificar e incluso eliminar archivos importantes.

El informe técnico de Bitdefender, compartido con Hackread.com antes de su publicación el miércoles 10 de septiembre de 2025, revela que EggStreme realiza una ejecución sin archivos . Además, aunque los módulos cifrados existen en el disco, las cargas útiles maliciosas se descifran y ejecutan únicamente en memoria. Esto, combinado con la instalación de archivos DLL, dificulta la detección del framework.

La puerta trasera principal, EggStremeAgent, admite 58 comandos. Es capaz de recopilar datos del sistema, manipular archivos, ejecutar comandos e inyectar cargas útiles adicionales. Cada vez que se inicia una nueva sesión de usuario, también inyecta un keylogger en explorer.exe para monitorizar las pulsaciones de teclas y los datos del portapapeles. La comunicación con los servidores de comando y control se realiza mediante canales gRPC (Llamada a Procedimiento Remoto de Google) cifrados.

Para respaldar su acceso, los atacantes implementan una herramienta secundaria llamada EggStremeWizard. Esta puerta trasera, más ligera, utiliza otro truco de instalación de DLL con xwizard.exe y mantiene su propia lista de servidores de respaldo. Junto con una herramienta proxy llamada Stowaway, el framework permite a los operadores enrutar el tráfico dentro de la red víctima, eludiendo la segmentación y las reglas del firewall.

Bitdefender señala que la campaña sigue activa y recomienda a las organizaciones de la región que apliquen los indicadores de vulnerabilidad publicados. Los indicadores de vulnerabilidad y los detalles técnicos están disponibles a través del portal IntelliZone de Bitdefender y su repositorio público de GitHub .

Vale la pena señalar que Filipinas ha estado bajo presión cibernética sostenida durante algún tiempo, no solo por parte de herramientas de espionaje como EggStreme, sino también por campañas hacktivistas y de desinformación en general vinculadas a las tensiones en el Mar de China Meridional.

Filipinas ya ha estado lidiando con un aumento de ciberataques, con un aumento de incidentes de más del 300 % a principios de 2024 en medio de disputas en el Mar de China Meridional. El ataque del malware EggStreme demuestra que estas campañas no son eventos aislados, sino parte de una presión mayor y continua sobre el frente cibernético y militar del país.