Uptime Hamster: 0d 0h 0mDeploy: 5 Jul 2026 10:25Updated: 2026-07-10

WIP19 (China)

Fecha
9 Jul 2026
Actor
wip19
Tipo
Reference
Pais
China
Sector
-
Confianza
medium
65
Prioridad analitica
Media

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

3IOCs
0TTPs
wip19Actor
ChinaPais

WIP19 (China)

Que es WIP19 (China)

WIP19 es un actor APT (Advanced Persistent Threat) asociado a China, conocido por su actividad de espionaje y ciberataques contra sectores críticos. Este grupo, también llamado SQLMaggie, ScreenCap o WinEggDrop, se enfoca en empresas de telecomunicaciones e IT en Oriente Medio y Asia. Se cree que utiliza técnicas avanzadas para infiltrarse en redes empresariales, aprovechando vulnerabilidades y herramientas maliciosas como SQLMaggie (un extraedor de credenciales) y ScreenCap (un componente de grabación de pantalla).

Contexto

WIP19 se ha destacado por su uso de un certificado digital robado de una empresa coreana, DEEPSoft, para firmar componentes maliciosos. Este enfoque permite que sus códigos parezcan legítimos, dificultando la detección. Además, el grupo utiliza técnicas como la hijacking de orden de búsqueda de DLL en explorer.exe para cargar módulos maliciosos sin ser notado. Su actividad está vinculada a la operación Shadow Force, aunque WIP19 se considera más maduro al implementar métodos más sofisticados, como el uso de WinEggDrop, un autor de backdoors con una larga trayectoria desde 2014.

Analisis

El grupo utiliza una combinación de herramientas y técnicas para succionar información sensible: - SQLMaggie: Extrae credenciales de sistemas operativos. - ScreenCap: Grabación de pantallas para recopilar datos visuales. - DLL Search Order Hijacking: Modifica el orden de carga de DLLs en explorer.exe para inyectar código malicioso. - Uso de certificados robados: Permite que componentes maliciosos parezcan legítimos, evitando alertas de seguridad. Estas tácticas reflejan un enfoque estratégico para operar en entornos empresariales, donde la detección es compleja y los sistemas suelen estar actualizados con medidas de protección.

Conclusion

WIP19 representa una amenaza significativa para organizaciones que gestionan infraestructuras críticas. Su capacidad para usar herramientas legítimas y técnicas avanzadas requiere monitoreo constante. Las Indicadores de Compromiso (IOC) identificados incluyen:
Tipo Valor Contexto
Domain explorer.exe Uso en DLL Search Order Hijacking
Domain www.sentinelone.com Fuente de información sobre WIP19
File explorer.exe Componente utilizado en técnica de inyección
Las organizaciones deben priorizar la vigilancia de actividades relacionadas con estos IOC y actualizar sus protocolos de seguridad para mitigar riesgos de espionaje y brechas.

Diamond Model

Adversary
wip19
Ver perfil →
Victim
WIP19 (China)
China
Capability
explorer.exe
Herramienta / tecnica observada
Infrastructure
explorer.exe
www.sentinelone.com

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
Domain explorer.exe Uso en DLL Search Order Hijacking VT OffSec SOCRadar
Domain www.sentinelone.com Fuente de información sobre WIP19 VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor wip19 en el blog → Ver wip19 en IntelTracker → Buscar wip19 en APTTrail → Repositorio APTTrail → Mas incidentes en China → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes