{"id":159885,"date":"2025-09-24T11:54:25","date_gmt":"2025-09-24T18:54:25","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=159885"},"modified":"2025-10-01T12:26:20","modified_gmt":"2025-10-01T19:26:20","slug":"bookworm-to-stately-taurus","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/","title":{"rendered":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42"},"content":{"rendered":"<h2><a id=\"post-159885-_heading=h.1t6tqpvlkzlk\"><\/a>Resumen ejecutivo<\/h2>\n<p>En el complejo panorama de la inteligencia y la investigaci\u00f3n de amenazas, comprender las herramientas que utilizan los actores de amenazas es tan importante como identificar a los propios actores. \u00bfC\u00f3mo vinculamos un malware espec\u00edfico con sus operadores? Presentamos un caso pr\u00e1ctico que muestra el proceso mediante el uso del Marco de atribuci\u00f3n de Unit 42 para analizar un malware conocido y sus v\u00ednculos con un grupo de amenazas formalmente identificado.<\/p>\n<p>Examinamos <a href=\"https:\/\/unit42.paloaltonetworks.com\/bookworm-trojan-a-model-of-modular-architecture\/\" target=\"_blank\" rel=\"noopener\">Bookworm<\/a>, una notable familia de malware utilizada por <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/stately-taurus-es-la\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a>, un grupo chino de amenazas persistentes avanzadas (APT) activo desde al menos 2012. Este grupo lleva a cabo campa\u00f1as de ciberespionaje dirigidas a entidades gubernamentales y comerciales de Europa y Asia.<\/p>\n<p>En el caso pr\u00e1ctico se ilustra c\u00f3mo el Marco de atribuci\u00f3n de Unit 42 nos ayuda a analizar y confirmar el v\u00ednculo operativo entre este malware espec\u00edfico y su uso constante por parte de Stately Taurus. Ofrecemos una visi\u00f3n transparente del proceso anal\u00edtico, en la que se demuestra c\u00f3mo pasamos del an\u00e1lisis del c\u00f3digo del malware a la comprensi\u00f3n de las operaciones m\u00e1s amplias del adversario.<\/p>\n<p>Exploramos las metodolog\u00edas que utilizamos para analizar las caracter\u00edsticas de Bookworm y examinamos su uso en las campa\u00f1as de Stately Taurus. Por \u00faltimo, demostramos c\u00f3mo nuestro marco estructurado mejora la precisi\u00f3n y la confianza a la hora de atribuir no solo la actividad, sino tambi\u00e9n las t\u00e9cnicas utilizadas por el actor. Este an\u00e1lisis en profundidad destaca la naturaleza iterativa de la atribuci\u00f3n y c\u00f3mo la confirmaci\u00f3n de las asociaciones entre familias de malware refuerza nuestra visi\u00f3n global de la inteligencia.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra el malware Bookworm gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/infographics\/xsiam-product-tour\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/security-subscriptions\" target=\"_blank\" rel=\"noopener\">Servicios de seguridad entregados en la nube<\/a> para el <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/next-generation-firewall\" target=\"_blank\" rel=\"noopener\">firewall de nueva generaci\u00f3n<\/a>, que incluyen <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">WildFire avanzado<\/a>, <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">prevenci\u00f3n de amenazas avanzada<\/a>, <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Seguridad DNS avanzada<\/a>.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 97.6351%;\">\n<thead>\n<tr style=\"height: 16px;\">\n<td style=\"width: 35%; height: 16px;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 197.07%; height: 16px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/stately-taurus-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Stately Taurus<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/bookworm-es-la\/\" target=\"_blank\" rel=\"noopener\">Bookworm<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-159885-_heading=h.k03wa1nupqe9\"><\/a>Una breve retrospectiva: el marco de atribuci\u00f3n de Unit 42<\/h2>\n<p>Antes de profundizar en los detalles de Bookworm y Stately Taurus, conviene repasar brevemente los principios b\u00e1sicos del M<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">arco de atribuci\u00f3n de Unit 42<\/a>. Desarrollamos este marco para introducir un enfoque sistem\u00e1tico y basado en pruebas en el mundo, a menudo complejo, de la atribuci\u00f3n de actor de amenazas. Va m\u00e1s all\u00e1 de las evaluaciones subjetivas y proporciona una metodolog\u00eda rigurosa para relacionar las actividades maliciosas observadas con grupos o individuos espec\u00edficos.<\/p>\n<p>A efectos de este estudio de caso, es importante recordar que nuestro marco eval\u00faa diversas dimensiones de los datos sobre amenazas, entre las que se incluyen:<\/p>\n<ul>\n<li>an\u00e1lisis de t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP);<\/li>\n<li>examen de las caracter\u00edsticas de las herramientas y el malware;<\/li>\n<li>examen de las pr\u00e1cticas de seguridad operativa (OPSEC);<\/li>\n<li>mapeo de la infraestructura de red;<\/li>\n<li>an\u00e1lisis de victimolog\u00eda;<\/li>\n<li>y an\u00e1lisis meticuloso de las l\u00edneas temporales.<\/li>\n<\/ul>\n<p>A continuaci\u00f3n, evaluamos cada prueba mediante el <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">Sistema Admiralty<\/a>, que asigna puntuaciones de confiabilidad y credibilidad, lo que garantiza que nuestras conclusiones se basen en fundamentos s\u00f3lidos. Realizamos un seguimiento y almacenamos toda esta informaci\u00f3n y los datos en nuestra tabla de atribuci\u00f3n, lo que nos ayuda a calcular una puntuaci\u00f3n acumulativa para determinar la confianza en la atribuci\u00f3n.<\/p>\n<p>Adem\u00e1s, el marco integra el <a href=\"https:\/\/apps.dtic.mil\/sti\/citations\/ADA586960\" target=\"_blank\" rel=\"noopener\">modelo Diamante de an\u00e1lisis de intrusiones<\/a> como herramienta fundamental para mapear y correlacionar actividades, especialmente a la hora de generar confianza para pasar de las observaciones iniciales a afirmaciones definitivas de atribuci\u00f3n. El modelo ayuda a los analistas a organizar los datos brutos sobre un ataque en cuatro categor\u00edas clave:<\/p>\n<ul>\n<li>Adversario: el atacante.<\/li>\n<li>Capacidad: las herramientas y t\u00e9cnicas que utilizaron (como el malware).<\/li>\n<li>Infraestructura: los sistemas que utilizaron para lanzar el ataque (como servidores o direcciones IP).<\/li>\n<li>V\u00edctima: el objetivo del ataque.<\/li>\n<\/ul>\n<p>En esencia, el marco nos permite acumular y sopesar diversos datos de inteligencia, lo que conduce a una atribuci\u00f3n de alta confianza y a una comprensi\u00f3n m\u00e1s profunda de las operaciones del adversario, precisamente lo que demostraremos con Bookworm.<\/p>\n<h2><a id=\"post-159885-_heading=h.calrxrwn50a4\"><\/a>Introducci\u00f3n a Bookworm: breve descripci\u00f3n<\/h2>\n<p>Para comprender plenamente los v\u00ednculos entre la familia de <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/bookworm-es-la\/\" target=\"_blank\" rel=\"noopener\">malware Bookworm<\/a> y Stately Taurus, es esencial establecer primero una comprensi\u00f3n b\u00e1sica de la propia familia de malware Bookworm. Observado por primera vez en 2015, Bookworm funciona principalmente como un troyano de acceso remoto (RAT) avanzado, que otorga a sus operadores un amplio control sobre los sistemas comprometidos.<\/p>\n<p>Sus capacidades suelen incluir:<\/p>\n<ul>\n<li>Ejecutar comandos arbitrarios.<\/li>\n<li>Manipular archivos (carga\/descarga).<\/li>\n<li>Exfiltrar datos.<\/li>\n<li>Establecer un acceso persistente.<\/li>\n<\/ul>\n<p>Bookworm es conocido por su arquitectura modular \u00fanica, que permite ampliar su funcionalidad b\u00e1sica cargando m\u00f3dulos adicionales directamente desde su servidor de comando y control (C2). Esta modularidad dificulta el an\u00e1lisis est\u00e1tico, ya que el m\u00f3dulo <span style=\"font-family: 'courier new', courier, monospace;\">Leader<\/span> depende de otras DLL para proporcionar una funcionalidad espec\u00edfica.<\/p>\n<p>Lo que hace que muchas de nuestras muestras de Bookworm analizadas sean especialmente dignas de menci\u00f3n desde la perspectiva de la atribuci\u00f3n son algunas de sus caracter\u00edsticas t\u00e9cnicas distintivas y los patrones operativos observados. Por ejemplo, nuestro an\u00e1lisis ha descubierto con frecuencia rutas espec\u00edficas de bases de datos de programas (PDB) incrustadas en muestras de Bookworm. Un ejemplo notable es la ruta:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span><\/li>\n<\/ul>\n<p>Los desarrolladores suelen dejar estas rutas inadvertidamente durante la compilaci\u00f3n. Sirven como indicadores de atribuci\u00f3n, actuando como huellas digitales \u00fanicas que pueden vincular diferentes variantes de malware o incluso diferentes familias de malware desarrolladas por el mismo actor. Identificamos esta ruta PDB espec\u00edfica en muestras de ToneShell, otra herramienta personalizada que se ha asociado con Stately Taurus.<\/p>\n<p>Las muestras de Bookworm muestran varios m\u00e9todos para la comunicaci\u00f3n C2, a menudo aprovechando dominios de apariencia leg\u00edtima o infraestructura comprometida para mezclarse con el tr\u00e1fico de red. Una t\u00e9cnica observada en variantes recientes de Bookworm, que imita a ToneShell, consiste en empaquetar c\u00f3digo shell como cadenas de identificadores \u00fanicos universales (UUID). A continuaci\u00f3n, el malware decodifica estos UUID codificados en ASCII o Base64 en datos binarios y los ejecuta a trav\u00e9s de funciones API leg\u00edtimas.<\/p>\n<p>El an\u00e1lisis inicial de Bookworm de 2015 se\u00f1al\u00f3 principalmente la carga lateral de DLL para la ejecuci\u00f3n de la carga \u00fatil. Sin embargo, las variantes m\u00e1s recientes han adoptado esta t\u00e9cnica UUID. Aunque el c\u00f3digo fuente de este m\u00e9todo UUID est\u00e1 disponible p\u00fablicamente, su aplicaci\u00f3n coherente en las cargas \u00fatiles de Bookworm y ToneShell ofrece otra similitud t\u00e9cnica a la que es importante prestar atenci\u00f3n.<\/p>\n<p>La comprensi\u00f3n de estas caracter\u00edsticas t\u00e9cnicas de Bookworm proporciona la base para el an\u00e1lisis de atribuci\u00f3n que sigue, en el que vincularemos directamente estas caracter\u00edsticas con las actividades de Stately Taurus.<\/p>\n<h2><a id=\"post-159885-_heading=h.6rz2dr1bbv40\"><\/a>El v\u00ednculo: Bookworm y Stately Taurus a trav\u00e9s de las lentes del marco.<\/h2>\n<p>Una vez establecido el plano t\u00e9cnico de Bookworm, podemos aplicar el Marco de atribuci\u00f3n de Unit 42 para demostrar los v\u00ednculos operativos entre la familia de malware y Stately Taurus. En t\u00e9rminos generales, estamos realizando la atribuci\u00f3n bas\u00e1ndonos en lo siguiente:<\/p>\n<ul>\n<li>TTP, herramientas y capacidades del actor de amenazas.<\/li>\n<li>Coherencia de OPSEC.<\/li>\n<li>Superposiciones de la infraestructura de red.<\/li>\n<li>Victimolog\u00eda y selecci\u00f3n de objetivos.<\/li>\n<li>Plazos de actividad.<\/li>\n<\/ul>\n<p>Examinaremos cada uno de estos aspectos con mayor detalle en las siguientes secciones.<\/p>\n<h3><a id=\"post-159885-_heading=h.gz23mv4798hh\"><\/a>T\u00e1cticas, t\u00e9cnicas y procedimientos (alineaci\u00f3n del modelo Diamond: capacidad)<\/h3>\n<p>El seguimiento de las TTP de los actores de amenazas es un aspecto importante de la atribuci\u00f3n. En este caso, el modus operandi observado en el uso de Bookworm suele coincidir con las TTP bien documentadas de Stately Taurus. Por ejemplo, el acceso inicial suele implicar campa\u00f1as de spear phishing altamente personalizadas que utilizan documentos se\u00f1uelo atractivos, un sello distintivo del enfoque de Stately Taurus.<\/p>\n<p>Despu\u00e9s del compromiso, Bookworm muestra comportamientos coherentes con el manual general de Stately Taurus, que incluye establecer la persistencia, as\u00ed como recopilar y exfiltrar informaci\u00f3n confidencial. El enfoque del grupo en la recopilaci\u00f3n encubierta de datos y el espionaje se refleja directamente en el dise\u00f1o y el uso de Bookworm, especialmente como se ha visto en campa\u00f1as de ataque anteriores contra un gobierno del sudeste asi\u00e1tico <a href=\"https:\/\/unit42.paloaltonetworks.com\/attack-campaign-on-the-government-of-thailand-delivers-bookworm-trojan\/\" target=\"_blank\" rel=\"noopener\">utilizando Bookworm<\/a>.<\/p>\n<p>La asignaci\u00f3n de esta actividad a las t\u00e9cnicas MITRE ATT&amp;CK es un mecanismo \u00fatil para realizar un seguimiento a lo largo del tiempo y tambi\u00e9n se puede utilizar durante el proceso de atribuci\u00f3n. Por ejemplo, los atacantes han distribuido tanto Bookworm como ToneShell mediante spear phishing (<a href=\"https:\/\/attack.mitre.org\/techniques\/T0865\/\" target=\"_blank\" rel=\"noopener\">T0865<\/a>) y los han ejecutado mediante sideloading de DLL (<a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/001\/\" target=\"_blank\" rel=\"noopener\">T1574.001<\/a>). Estas t\u00e9cnicas deben tenerse en cuenta durante la atribuci\u00f3n con una ponderaci\u00f3n muy baja, debido a la probabilidad de que varios actores diferentes utilicen las mismas t\u00e9cnicas.<\/p>\n<h3><a id=\"post-159885-_heading=h.z40peo5pztbd\"><\/a>Herramientas y capacidades (alineaci\u00f3n del modelo Diamond: capacidad)<\/h3>\n<p>Adem\u00e1s del propio Bookworm, la presencia de otras herramientas distintas en los entornos comprometidos refuerza el v\u00ednculo con Stately Taurus. ToneShell es una herramienta que Unit 42 y otros investigadores han observado que Stately Taurus utiliza en exclusiva (la entrada <span style=\"font-family: 'courier new', courier, monospace;\">Capacidad (Herramientas)<\/span> en la tabla de atribuci\u00f3n que figura a continuaci\u00f3n). Tambi\u00e9n hemos observado el uso de herramientas disponibles p\u00fablicamente, como Impacket, en incidentes relacionados con Bookworm. Esto refleja la tendencia conocida de Stately Taurus de incorporar herramientas leg\u00edtimas o de c\u00f3digo abierto en sus cadenas de ataque para el movimiento lateral y el reconocimiento (entrada <span style=\"font-family: 'courier new', courier, monospace;\">Capacidad (Herramientas)<\/span> en la tabla de atribuci\u00f3n).<\/p>\n<h3><a id=\"post-159885-_heading=h.6qk37jlnupbq\"><\/a>Coherencia en la seguridad operativa (OPSEC) (alineaci\u00f3n del modelo Diamond: adversario)<\/h3>\n<p>Stately Taurus es avanzado, pero muestra ciertos patrones de OPSEC que resultan valiosos para la atribuci\u00f3n. La ruta PDB compartida anteriormente (<span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span>) que se encuentra tanto en las muestras de Bookworm como en las de ToneShell es un ejemplo claro de consistencia OPSEC (la entrada <span style=\"font-family: 'courier new', courier, monospace;\">Malware Artifact (\u00fanica)<\/span> en la tabla de atribuci\u00f3n) que podr\u00eda resultar valiosa para la atribuci\u00f3n.<\/p>\n<p>El descubrimiento de que estas muestras se compilaron con solo ocho semanas de diferencia (ToneShell el 1 de septiembre de 2022 y Bookworm el 26\u00a0de octubre de 2022) sugiere claramente la participaci\u00f3n del mismo desarrollador. Estos artefactos de compilaci\u00f3n \u00fanicos y los tiempos de compilaci\u00f3n tan cercanos proporcionan una huella digital interna del entorno de desarrollo de Stately Taurus.<\/p>\n<p>ToneShell y Bookworm son herramientas personalizadas que comparten t\u00e9cnicas espec\u00edficas de carga de c\u00f3digo shell, como el m\u00e9todo UUID mencionado anteriormente, lo que constituye otro indicador de una metodolog\u00eda de desarrollo compartida.<\/p>\n<h3><a id=\"post-159885-_heading=h.dvxnopi12ut2\"><\/a>Infraestructura de red (alineaci\u00f3n del modelo Diamond: infraestructura)<\/h3>\n<p>Uno de los elementos m\u00e1s s\u00f3lidos de la atribuci\u00f3n reside en la infraestructura compartida. Es fundamental reconocer que los diferentes tipos de infraestructura tienen un peso anal\u00edtico variable. Por ejemplo, aunque una direcci\u00f3n IPv4 puede proporcionar un enlace temporal, su valor de atribuci\u00f3n es generalmente menor en comparaci\u00f3n con una URL o un dominio, que suelen ser m\u00e1s persistentes.<\/p>\n<p>Las direcciones IP suelen rotarse r\u00e1pidamente como parte de la seguridad operativa de un actor. Esto las convierte en indicadores m\u00e1s transitorios desde el punto de vista de la atribuci\u00f3n.<\/p>\n<p>Los dominios, especialmente los que se utilizan de forma constante, suelen requerir una mayor inversi\u00f3n y planificaci\u00f3n. Esto los convierte en marcadores m\u00e1s s\u00f3lidos y estables a efectos de atribuci\u00f3n.<\/p>\n<p>A pesar de estos matices, en nuestras investigaciones se observaron coincidencias directas y significativas en la infraestructura C2 entre Bookworm y ToneShell. Por ejemplo, se observaron direcciones IP espec\u00edficas como <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]68<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]87<\/span> que resolv\u00edan dominios C2 <em>tanto para<\/em> Bookworm (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">update.fjke5oe[.]com<\/span>,<span style=\"font-family: 'courier new', courier, monospace;\"> www.hbsanews[.]com<\/span>) <em>como para<\/em> ToneShell (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">www.uvfr4ep[.]com<\/span>) (las entradas de <span style=\"font-family: 'courier new', courier, monospace;\">Infraestructura (IPv4)<\/span> en la tabla de atribuci\u00f3n). Esta infraestructura compartida, especialmente cuando se trata de herramientas personalizadas que se sabe que son exclusivas de Stately Taurus, como ToneShell, demuestra de forma convincente la existencia de un control operativo unificado.<\/p>\n<p>Adem\u00e1s, observamos ciertas rutas URL (por ejemplo,<span style=\"font-family: 'courier new', courier, monospace;\"> \/v11\/2\/windowsupdate\/redir\/v6-winsp1-wuredir<\/span>) utilizadas por muestras de PUBLOAD (otro malware asociado a Stately Taurus) en campa\u00f1as relacionadas con Bookworm, lo que indica la reutilizaci\u00f3n de la infraestructura entre herramientas (las entradas de <span style=\"font-family: 'courier new', courier, monospace;\">Infraestructura (URL)<\/span> en la tabla de atribuci\u00f3n). Es importante se\u00f1alar que la ruta URL ten\u00eda por objeto imitar una URL leg\u00edtima de Windows Update, pero la escribieron mal, lo que aument\u00f3 su peso en las superposiciones de infraestructura.<\/p>\n<h3><a id=\"post-159885-_heading=h.ah1ma0pipncx\"><\/a>Victimolog\u00eda y selecci\u00f3n de objetivos (alineaci\u00f3n del modelo Diamond: v\u00edctima)<\/h3>\n<p>La victimolog\u00eda asociada con Bookworm se alinea fuertemente con los objetivos de selecci\u00f3n de Stately Taurus. Nuestra telemetr\u00eda indica que Bookworm ha afectado a gobiernos del sudeste asi\u00e1tico y a m\u00faltiples organizaciones a nivel mundial. Esto concuerda con campa\u00f1as anteriores de Stately Taurus, que tienen un historial bien documentado de centrarse en entidades gubernamentales e infraestructuras cr\u00edticas en todo el sudeste asi\u00e1tico.<\/p>\n<p>Si nos basamos en las coincidencias observadas en actividades recientes, ahora podemos asociar con seguridad los ataques no atribuidos anteriormente a gobiernos y <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-uses-bookworm-malware\/\" target=\"_blank\" rel=\"noopener\">organizaciones del sudeste asi\u00e1tico<\/a> con Stately Taurus, que se remontan hasta hace nueve a\u00f1os.<\/p>\n<h3><a id=\"post-159885-_heading=h.892qjg96pt8s\"><\/a>An\u00e1lisis cronol\u00f3gico (alineaci\u00f3n del modelo Diamond: adversario)<\/h3>\n<p>Las l\u00edneas temporales operativas de las campa\u00f1as de Bookworm encajan con los periodos de actividad conocidos de Stately Taurus. Observamos por primera vez a Bookworm atacando objetivos en un gobierno del sudeste asi\u00e1tico en julio de 2015. La evoluci\u00f3n del malware, incluidos los cambios en la forma en que su c\u00f3digo shell carga m\u00f3dulos adicionales, ha permitido a los atacantes empaquetarlo en diferentes formatos, con variantes observadas entre 2015 y 2021 y 2022.<\/p>\n<p>Esta implementaci\u00f3n y adaptaci\u00f3n de Bookworm, que se ejecuta en paralelo con otras operaciones de Stately Taurus, pone de manifiesto su papel a largo plazo en el arsenal del actor. Tambi\u00e9n apunta a un compromiso sostenido y a largo plazo con su desarrollo y uso por parte del grupo.<\/p>\n<h2><a id=\"post-159885-_heading=h.tznqfeb36ph2\"><\/a>Puntuaci\u00f3n de las pruebas y nivel de confianza en la tabla de atribuci\u00f3n<\/h2>\n<p>La recopilaci\u00f3n y el an\u00e1lisis de pruebas, tal y como se detalla en las secciones anteriores, constituyen la columna vertebral del Marco de atribuci\u00f3n de Unit 42. Sin embargo, no basta con enumerar las pruebas. Su verdadero valor se revela mediante una evaluaci\u00f3n estructurada de su fiabilidad y credibilidad a trav\u00e9s de nuestra tabla de atribuci\u00f3n, que se muestra en la Figura 1 a continuaci\u00f3n.<\/p>\n<p>Es precisamente aqu\u00ed donde el sistema Admiralty, tal y como se explica <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">en nuestro art\u00edculo anterior<\/a>, demuestra ser un componente fundamental del Marco de atribuci\u00f3n de Unit 42. Proporciona un m\u00e9todo estandarizado para evaluar cada dato, lo que nos permite construir una imagen completa de la confianza.<\/p>\n<p>Como recordatorio, el sistema Admiralty asigna un c\u00f3digo de dos caracteres a cada elemento probatorio: una letra (A-F) para la <strong>confiabilidad de la fuente<\/strong> y un n\u00famero (1-6) para la <strong>credibilidad de la informaci\u00f3n<\/strong>.<\/p>\n<ul>\n<li><strong>Confiabilidad de la fuente (A-F):<\/strong> eval\u00faa la confiabilidad de la fuente en s\u00ed misma. Una A denota una fuente completamente confiable con un historial probado, mientras que una F indica una fuente poco confiable o sin evaluar. La telemetr\u00eda interna de Palo Alto Networks (PANW), por ejemplo, suele comenzar con una puntuaci\u00f3n de confiabilidad alta (por ejemplo, A) debido a su naturaleza directa y controlada. La investigaci\u00f3n p\u00fablica, dependiendo de la reputaci\u00f3n de la entidad informante y la profundidad de su an\u00e1lisis, puede recibir una C o una B. Esto puede ajustarse seg\u00fan las preferencias del analista.<\/li>\n<li><strong>Credibilidad de la informaci\u00f3n (1-6):<\/strong> eval\u00faa la veracidad y coherencia de la informaci\u00f3n proporcionada. Un 1 significa que la informaci\u00f3n est\u00e1 confirmada por otras fuentes independientes y es l\u00f3gica, mientras que un 6 significa que no se puede juzgar su veracidad.<\/li>\n<\/ul>\n<p>Veamos c\u00f3mo se interpretan las puntuaciones de nuestra tabla de atribuci\u00f3n al aplicar el sistema Admiralty al an\u00e1lisis relativo a Stately Taurus. En la Figura 1 se muestra un ejemplo de tabla de atribuci\u00f3n.<\/p>\n<figure id=\"attachment_159886\" aria-describedby=\"caption-attachment-159886\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159886 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-158829-159885-1.png\" alt=\"Hoja de c\u00e1lculo para el malware Bookworm. En ella se muestran diversos tipos de amenazas a la ciberseguridad, clasificadas por modelo de dominio, tipo, fuente de atribuci\u00f3n, valor, an\u00e1lisis, superposici\u00f3n, fuentes compatibles y disponibilidad manual. Incluye columnas sobre vectores, capacidad, infraestructura y malware, con informaci\u00f3n sobre organizaciones gubernamentales e investigaci\u00f3n p\u00fablica.\" width=\"1000\" height=\"367\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-158829-159885-1.png 1775w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-158829-159885-1-786x288.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-158829-159885-1-768x282.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-158829-159885-1-1536x563.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159886\" class=\"wp-caption-text\">Figura 1. Tabla de atribuci\u00f3n de Bookworm.<\/figcaption><\/figure>\n<ul>\n<li><strong>A5 (V\u00edctima - Organizaci\u00f3n):<\/strong> para la entrada sobre la organizaci\u00f3n v\u00edctima, la puntuaci\u00f3n de A5 indica una fuente A (completamente confiable), que es nuestra telemetr\u00eda interna de Palo Alto Networks. Sin embargo, la credibilidad de la informaci\u00f3n es de 5 (improbable). Esto puede parecer contradictorio. Sin embargo, refleja que, si bien la fuente es impecable, los <em>detalles<\/em> espec\u00edficos de una interacci\u00f3n <em>singular y continua<\/em> con la v\u00edctima pueden ser dif\u00edciles de confirmar por completo en todos los aspectos. Tambi\u00e9n podr\u00eda tratarse de una observaci\u00f3n general que es muy probable, pero que a\u00fan no se ha confirmado por completo con diversas l\u00edneas de evidencia independientes al m\u00e1s alto nivel. Establece una pista s\u00f3lida basada en datos internos confiables, pero reconoce que hay margen para una mayor corroboraci\u00f3n.<\/li>\n<li><strong>A2 (Capacidad - Artefacto de malware (\u00fanico)):<\/strong> la ruta PDB compartida (<span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span>) entre Bookworm y ToneShell recibe una A2. Esto significa una fuente interna A (completamente confiable) (PANW) e informaci\u00f3n 2 (probablemente verdadera). La coherencia de este artefacto \u00fanico en diferentes muestras de malware, especialmente cuando se combina con tiempos de compilaci\u00f3n cercanos, hace que la conclusi\u00f3n de un entorno de desarrollo compartido sea muy probable.<\/li>\n<li><strong>A4 (Infraestructura - IPv4):<\/strong> para las direcciones IP <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]68<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]87<\/span> que resuelven tanto Bookworm como ToneShell C2, ambas reciben un A4. Esto significa una fuente interna A (completamente confiable) (PANW), pero la informaci\u00f3n es 4 (dudosa) en t\u00e9rminos de su persistencia a largo plazo o exclusividad. Esto nos indica que, aunque los datos internos de Unit 42 confirman la resoluci\u00f3n, las direcciones IP suelen rotarse r\u00e1pidamente como parte de la actividad de los actores. Por lo tanto, sin pruebas adicionales que corroboren su uso sostenido o \u00fanico, a menudo les asignamos una puntuaci\u00f3n de credibilidad predeterminada de 4 (esto puede cambiarse bas\u00e1ndose en una justificaci\u00f3n v\u00e1lida del analista). Sigue siendo fuerte debido a la confiabilidad de la fuente, pero indica la necesidad de un seguimiento continuo y de nueva informaci\u00f3n para mantener su relevancia.<\/li>\n<li><strong>C3 (Infraestructura - URL):<\/strong> las URL utilizadas por las muestras PUBLOAD asociadas con Stately Taurus, a las que hacen referencia investigaciones p\u00fablicas, obtienen una puntuaci\u00f3n C3. Esto implica una fuente C (bastante confiable) (investigaci\u00f3n p\u00fablica, como <span style=\"font-family: 'courier new', courier, monospace;\">lab52.io<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">csirt-cti.net<\/span>) e informaci\u00f3n 3 (posiblemente verdadera). Los informes p\u00fablicos suelen ser confiables, pero requieren la validaci\u00f3n y la verificaci\u00f3n cruzada de Unit 42 para aumentar su credibilidad, por lo que se consideran \u201cposiblemente veraces\u201d en lugar de<br \/>\n\u201cprobablemente veraces\u201d sin una corroboraci\u00f3n interna adicional.<\/li>\n<li><strong>A5 (Capacidad - Herramientas (P\u00fablicas)):<\/strong> la observaci\u00f3n de que las cargas \u00fatiles ToneShell y Bookworm utilizan UUID, aprovechando el c\u00f3digo fuente disponible p\u00fablicamente, recibe una A5. Una vez m\u00e1s, una fuente interna A (completamente confiable). Sin embargo, la informaci\u00f3n sobre el <em>uso de UUID por parte de estas familias espec\u00edficas de malware<\/em> es 5 (improbable) en cuanto a que sea lo suficientemente \u00fanica o definitiva por s\u00ed sola como para atribuirla con certeza, ya que la t\u00e9cnica subyacente es p\u00fablica. Esto pone de relieve el matiz del marco: el hecho de que una herramienta sea p\u00fablica no disminuye la confiabilidad de la fuente, pero puede afectar a la <em>credibilidad<\/em> de esa herramienta espec\u00edfica como punto de atribuci\u00f3n <em>\u00fanico<\/em>.<\/li>\n<li><strong>A5 (Capacidad - Herramientas (P\u00fablicas)):<\/strong> Del mismo modo, la muestra de Impacket observada en un incidente de Bookworm, tambi\u00e9n procedente de una fuente interna de PANW, obtiene una puntuaci\u00f3n de A5. Aunque Impacket es una herramienta habitual, su presencia constante en el contexto operativo espec\u00edfico de Stately Taurus es importante, pero su disponibilidad general la convierte en un indicador \u201cimprobable\u201d por s\u00ed solo y de alta credibilidad sin otras pruebas que lo corroboren.<\/li>\n<\/ul>\n<p>Sin embargo, la verdadera fortaleza del sistema Admiralty no reside en una puntuaci\u00f3n concreta, sino en su efecto acumulativo y en los c\u00e1lculos asociados en la tabla de atribuci\u00f3n. Las pruebas o datos individuales pueden tener distintos niveles de certeza. Pero es el volumen y el patr\u00f3n consistente de pruebas con puntuaciones altas en diversas categor\u00edas (es decir, TTPs, herramientas, OPSEC, infraestructura, victimolog\u00eda) lo que nos permite atribuir con confianza el uso de Bookworm a Stately Taurus.<\/p>\n<p>Utilizando una f\u00f3rmula propia en la tabla de atribuci\u00f3n que agrega las puntuaciones ponderadas de Admiralty de la tabla de atribuci\u00f3n, calculamos una puntuaci\u00f3n de confianza global para la afirmaci\u00f3n de atribuci\u00f3n. Esto nos ayuda a crear un lenguaje estimativo que sea preciso y se base en hechos t\u00e9cnicos.<\/p>\n<p>Nuestros rangos de confianza se definen de la siguiente manera:<\/p>\n<ul>\n<li><strong>Confianza baja:<\/strong> 0-8<\/li>\n<li><strong>Confianza moderada:<\/strong> 8-32<\/li>\n<li><strong>Confianza alta:<\/strong> +32<\/li>\n<\/ul>\n<p>Para este caso pr\u00e1ctico espec\u00edfico, las pruebas presentadas en nuestra tabla de atribuci\u00f3n arrojan una puntuaci\u00f3n de 58,4. Esto sit\u00faa definitivamente la atribuci\u00f3n de las operaciones de Bookworm a Stately Taurus dentro del rango de confianza alta. La presencia de varias puntuaciones A2, A4 y A5, especialmente cuando se cruzan y corroboran con puntuaciones C3 externas, constituye un conjunto de pruebas suficiente. Este proceso de puntuaci\u00f3n sistem\u00e1tico garantiza la transparencia, reduce el sesgo y proporciona un registro de auditor\u00eda claro para nuestras conclusiones de atribuci\u00f3n, lo que nos permite ir m\u00e1s all\u00e1 de las meras conjeturas.<\/p>\n<h2><a id=\"post-159885-_heading=h.4wetocjv7g1u\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Este caso pr\u00e1ctico sobre Bookworm y Stately Taurus demuestra la potencia y precisi\u00f3n del marco de atribuci\u00f3n de Unit 42. Hemos rastreado c\u00f3mo un enfoque sistem\u00e1tico y basado en pruebas nos permiti\u00f3 ir m\u00e1s all\u00e1 de las meras observaciones para vincular de forma definitiva la familia de malware Bookworm con las operaciones de Stately Taurus.<\/p>\n<p>Mediante el an\u00e1lisis de:<\/p>\n<ul>\n<li>Rutas PDB compartidas.<\/li>\n<li>Herramientas coherentes (como ToneShell).<\/li>\n<li>Infraestructura superpuesta.<\/li>\n<li>Victimolog\u00eda hist\u00f3rica en el sudeste asi\u00e1tico.<\/li>\n<li>Cronolog\u00edas sincronizadas.<\/li>\n<\/ul>\n<p>Cada prueba, puntuada con el sistema Admiralty, contribuy\u00f3 a una atribuci\u00f3n de confianza alta de 58,4.<\/p>\n<p>Este nivel de atribuci\u00f3n detallada y confirmada no es meramente un ejercicio acad\u00e9mico. Tiene profundas implicaciones para la comunidad m\u00e1s amplia de investigaci\u00f3n en ciberseguridad e inteligencia de amenazas.<\/p>\n<p>Al compartir abiertamente nuestra metodolog\u00eda y su aplicaci\u00f3n pr\u00e1ctica, nuestro objetivo es:<\/p>\n<ul>\n<li><strong>Mejorar la colaboraci\u00f3n y la coherencia:<\/strong> proporcionar un lenguaje y un marco comunes para los analistas de diferentes organizaciones, fomentando la elaboraci\u00f3n de informes sobre amenazas m\u00e1s coherentes y menos ambiguos.<\/li>\n<li><strong>Mejorar el rigor anal\u00edtico:<\/strong> ofrecer un modelo para un an\u00e1lisis exhaustivo y basado en pruebas, elevando la calidad general y la defendibilidad de las afirmaciones de atribuci\u00f3n.<\/li>\n<li><strong>Facilitar la investigaci\u00f3n proactiva:<\/strong> permitir a otros investigadores aprovechar los v\u00ednculos establecidos, centrando sus esfuerzos en profundizar en las capacidades de los actores, las TTP en evoluci\u00f3n y las campa\u00f1as emergentes.<\/li>\n<li><strong>Fortalecer la inteligencia colectiva:<\/strong> contribuir a una comprensi\u00f3n global m\u00e1s precisa, unificada y viable de las operaciones de los actores de amenazas, en beneficio de todos los defensores.<\/li>\n<\/ul>\n<p>La actividad persistente de Stately Taurus, junto con la continua evoluci\u00f3n de malware como Bookworm, subraya la necesidad de una supervisi\u00f3n continua y una metodolog\u00eda de atribuci\u00f3n sistem\u00e1tica. A medida que los adversarios se adaptan, tambi\u00e9n deben hacerlo nuestra recopilaci\u00f3n y an\u00e1lisis de inteligencia y, lo que es m\u00e1s importante, nuestra capacidad para comunicar estos hallazgos con claridad y confianza.<\/p>\n<h3><a id=\"post-159885-_heading=h.qqrw3frjkvi1\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra el malware Bookworm gracias a los siguientes productos:<\/p>\n<ul>\n<li>El servicio de an\u00e1lisis de malware <a href=\"https:\/\/www.paloaltonetworks.lat\/network-security\/wildfire\" target=\"_blank\" rel=\"noopener\">avanzado de WildFire<\/a>, suministrado en la nube, identifica con precisi\u00f3n las muestras conocidas como maliciosas.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security <\/a> identifican las URL y los dominios conocidos asociados con la actividad de Bookworm como maliciosos.<\/li>\n<li>El <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">firewall de nueva generaci\u00f3n<\/a> con la <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">prevenci\u00f3n de amenazas avanzada<\/a> puede ayudar a bloquear los ataques con las mejores pr\u00e1cticas. La prevenci\u00f3n de amenazas avanzada cuenta con una detecci\u00f3n integrada basada en aprendizaje autom\u00e1tico que puede detectar exploits en tiempo real.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> est\u00e1n dise\u00f1ados para impedir la ejecuci\u00f3n de malware conocido, as\u00ed como la ejecuci\u00f3n de malware desconocido mediante la protecci\u00f3n contra amenazas basadas en el comportamiento y el aprendizaje autom\u00e1tico basado en el m\u00f3dulo de an\u00e1lisis local.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-159885-_heading=h.7yqhpdqxmzza\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">Presentamos el marco de atribuci\u00f3n de Unit\u00a042 <\/a>- Unit 42, Palo Alto Networks<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\"><br \/>\n<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.<\/p>\n","protected":false},"author":160,"featured_media":158722,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8829,8793],"tags":[9486,9488],"product_categories":[8922,8923,8924,8925,8921,8932,8934,8935,8938,8890],"coauthors":[888],"class_list":["post-159885","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-es-la","category-malware-es-la","tag-bookworm-es-la","tag-stately-taurus-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-next-generation-firewall-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42<\/title>\n<meta name=\"description\" content=\"Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42\" \/>\n<meta property=\"og:description\" content=\"Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-24T18:54:25+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-01T19:26:20+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1600\" \/>\n\t<meta property=\"og:image:height\" content=\"919\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Kyle Wilhoit\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42","description":"Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/","og_locale":"es_LA","og_type":"article","og_title":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42","og_description":"Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/","og_site_name":"Unit 42","article_published_time":"2025-09-24T18:54:25+00:00","article_modified_time":"2025-10-01T19:26:20+00:00","og_image":[{"width":1600,"height":919,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","type":"image\/jpeg"}],"author":"Kyle Wilhoit","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/"},"author":{"name":"Kyle Wilhoit","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"headline":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42","datePublished":"2025-09-24T18:54:25+00:00","dateModified":"2025-10-01T19:26:20+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/"},"wordCount":4386,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","keywords":["Bookworm","Stately Taurus"],"articleSection":["Grupos de actores de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/","name":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","datePublished":"2025-09-24T18:54:25+00:00","dateModified":"2025-10-01T19:26:20+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"description":"Conectamos el malware Bookworm con el APT chino Stately Taurus mediante nuestro marco de atribuci\u00f3n, lo que nos permite comprender mejor las t\u00e9cnicas utilizadas por los grupos de amenazas.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","width":1600,"height":919,"caption":"Pictorial representation of APT Stately Taurus. The silhouette of a bull and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/bookworm-to-stately-taurus\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"De Bookworm a Stately Taurus mediante el marco de atribuci\u00f3n de Unit 42"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab","name":"Kyle Wilhoit","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Kyle Wilhoit"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/kyle-wilhoit\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/160"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=159885"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159885\/revisions"}],"predecessor-version":[{"id":159897,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159885\/revisions\/159897"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/158722"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=159885"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=159885"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=159885"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=159885"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=159885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}