El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña que se ha dirigido a gobiernos e instituciones sanitarias municipales, principalmente clínicas y hospitales de emergencia, para entregar malware capaz de robar datos confidenciales de navegadores web basados ​​en Chromium y WhatsApp.

La actividad, que se observó entre marzo y abril de 2026, se ha atribuido a un grupo de amenazas denominado UAC-0247. Los orígenes de la campaña se desconocen actualmente.

Según CERT-UA, el punto de partida de la cadena de ataque es un mensaje de correo electrónico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web legítimo comprometido a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio falso creado con la ayuda de herramientas de inteligencia artificial (IA).

Independientemente de cuál sea el sitio, el objetivo es descargar y ejecutar un archivo de acceso directo de Windows (LNK), que luego ejecuta una aplicación HTML remota (HTA) usando la utilidad nativa de Windows, «mshta.exe». El archivo HTA, por su parte, muestra una forma de señuelo para desviar la atención de la víctima, al mismo tiempo que recupera un binario responsable de inyectar código shell en un proceso legítimo (por ejemplo, «runtimeBroker.exe»).

«Al mismo tiempo, las campañas recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y la carga útil final se comprime y cifra adicionalmente», dijo CERT-UA.

Uno de los etapas es una herramienta llamada TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexión TCP con un servidor de administración para recibir comandos para su ejecución en el host usando «cmd.exe».

También se descarga en la máquina infectada una familia de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, actualizar automáticamente la configuración y obtener la dirección IP actual del servidor de administración de un canal de Telegram, y recurrir a mecanismos alternativos para determinar la dirección de comando y control (C2).

Desarrollado con C#, AGINGFLY está diseñado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas útiles adicionales.

Una investigación de alrededor de una docena de incidentes ha revelado que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados ​​en Chromium. Estose logra mediante la implementación de varias herramientas de código abierto, como las que se enumeran a continuación:

• ChromElevator, un programa diseñado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chromium y recopilar cookies y contraseñas guardadas
• ZAPiXDESKuna herramienta de extracción forense para descifrar bases de datos locales para WhatsApp Web
• ÓxidoScanun escáner de red
• Ligolo-Ng, una utilidad ligera para establecer túneles a partir de conexiones TCP/TLS inversas
• Cinceluna herramienta para tunelizar el tráfico de red a través de TCP/UDP
• XMRig, un minero de criptomonedas

La agencia dijo que hay evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania también podrían haber sido atacados como parte de la campaña. Esto se basa en la distribución de archivos ZIP maliciosos a través de Signal que están diseñados para eliminar AGINGFLY mediante la técnica de carga lateral de DLL.

Para mitigar el riesgo asociado con la amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, junto con utilidades legítimas como «mshta.exe», «powershell.exe» y «wscript.exe».

Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una familia de malware llamada JanelaRAT.

JanelaRAT, una versión modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.

«Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de barra de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas», Kaspersky dicho en un informe publicado hoy. «Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones».

Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.

Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de carga lateral de DLL para iniciar el troyano.

En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y México.

«Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes», KPMG anotado En el momento. «Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte».

Los scripts también están diseñados para identificar los navegadores basados ​​en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comando «–load-extension») para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de activar acciones específicas basadas en coincidencias de patrones de URL.

La última cadena de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.

Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creación de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.

Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.

El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:

• Envío de capturas de pantalla al servidor C2
• Recortar regiones específicas de la pantalla y extraer imágenes
• Mostrar imágenes en modo de pantalla completa (por ejemplo, «Configurando actualizaciones de Windows, espere») y hacerse pasar por cuadros de diálogo con temas bancarios mediante superposiciones falsas para recopilar credenciales
• Capturando pulsaciones de teclas
• Simular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
• Mover el cursor y simular clics
• Ejecutar un apagado forzado del sistema
• Ejecutar comandos usando «cmd.exe» y comandos o scripts de PowerShell
• Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
• Señalar la presencia de sistemas antifraude
• Envío de metadatos del sistema
• Detección de sandbox y herramientas de automatización

«El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario», dijo Kaspersky. «Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del usuario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del usuario para cronometrar posibles operaciones remotas».

«Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude».

Los investigadores de ciberseguridad han detectado una nueva variante de malware llamada Caoseso es capaz de atacar implementaciones en la nube mal configuradas, lo que marca una expansión de la infraestructura de destino de la botnet.

«El malware del caos se dirige cada vez más a implementaciones en la nube mal configuradas, expandiéndose más allá de su enfoque tradicional en enrutadores y dispositivos de borde», Darktrace dicho en un nuevo informe.

El caos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, y lo describió como un malware multiplataforma capaz de apuntar a entornos Windows y Linux para ejecutar comandos de shell remotos, colocar módulos adicionales, propagarse a otros hosts mediante claves SSH de fuerza bruta, extraer criptomonedas y lanzar ataques distribuidos de denegación de servicio (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.

Se considera que el malware es una evolución de otro malware DDoS conocido como Kaiji que ha detectado instancias Docker mal configuradas. Actualmente no se sabe quién está detrás de la operación, pero la presencia de caracteres en idioma chino y el uso de infraestructura con sede en China sugieren que el actor de la amenaza podría ser de origen chino.

Darktrace dijo que identificó la nueva variante dirigida a su red honeypot el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite la ejecución remota de código en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusión comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación.

La aplicación, por su parte, incorporó una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por un atacante («pan.tenire[.]com»), establecer permisos para permitir a todos los usuarios leerlo, modificarlo o ejecutarlo («chmod 777») y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense.

Un aspecto interesante del ataque es que el dominio se utilizó anteriormente en relación con una campaña de phishing por correo electrónico llevada a cabo por el grupo chino de cibercrimen Silver Fox para entregar documentos señuelo y malware ValleyRAT. La campaña recibió el nombre en clave. Operation Silk Lure de Seqrite Labs en octubre de 2025.

El binario ELF de 64 bits es una versión reestructurada y actualizada de Chaos que reelabora varias de sus funciones, manteniendo intacta la mayoría de sus funciones principales. Sin embargo, uno de los cambios más significativos se refiere a la eliminación de funciones que permitían propagarse a través de SSH y explotar las vulnerabilidades del enrutador.

En su lugar se encuentra una nueva característica de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.

«Además, también se han cambiado varias funciones que anteriormente se creía que eran heredadas de Kaiji, lo que sugiere que los actores de la amenaza reescribieron el malware o lo refactorizaron ampliamente», añadió Darktrace.

La adición de la función de proxy es probablemente una señal de que los actores de amenazas detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el alquiler de DDoS, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una gama diversa de servicios ilícitos.

«Si bien Chaos no es un malware nuevo, su continua evolución pone de relieve la dedicación de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposición», concluyó Darktrace. «El reciente cambio en botnets como AISURU y Chaos para incluir servicios proxy como características principales demuestra que la denegación de servicio ya no es el único riesgo que estos botnets representan para las organizaciones y sus equipos de seguridad».

Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos años de ataques mínimos en la región.

La campaña ha sido atribuida a TA416un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.

«Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas ante la Unión Europea y la OTAN en una variedad de países europeos», dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho.

«A lo largo de este período, TA416 alteró regularmente su cadena de infección, incluido el abuso de las páginas de desafío de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, además de actualizar con frecuencia su carga útil personalizada de PlugX».

También se ha observado que TA416 orquesta múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.

Vale la pena mencionar aquí que TA416 también comparte superposiciones técnicas históricas con otro grupo conocido como Mustang Panda (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en común ambos es el uso de carga lateral de DLL para iniciar el malware.

El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.

«Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electrónico fue abierto por el objetivo previsto», dijo Proofpoint.

Se descubrió que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web legítimo de Microsoft. OAuth punto final de autorización que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en última instancia, implementa PlugX.

El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

En febrero de 2026 se observaron más mejoras en la cadena de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.

«Cuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila automáticamente», dijeron los investigadores. «En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga lateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX a través de la cadena de carga lateral de DLL típica del grupo».

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. También se sabe que la puerta trasera establece un canal de comunicación cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antianálisis para evitar la detección.

PlugX acepta cinco comandos diferentes:

• 0x00000002para capturar información del sistema
• 0x00001005para desinstalar el malware
• 0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de espera
• 0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
• 0x00007002para abrir un shell de comando inverso

«El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, después de dos años de centrarse en el Sudeste Asiático y Mongolia, es consistente con un renovado enfoque de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN», dijo Proofpoint.

«Además, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del grupo probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo largo de este período, el grupo ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, abuso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada».

La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del nexo chino han evolucionado desde una actividad estratégicamente alineada en la década de 2010 hasta intrusiones altamente adaptables y centradas en la identidad con la intención de establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.

Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener acceso inicial.

«En un caso notable, el actor había comprometido completamente el entorno y había establecido persistencia, sólo para resurgir en el entorno más de 600 días después», Darktrace dicho. «La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor».

Las entidades ucranianas se han convertido en el objetivo de una nueva campaña probablemente orquestada por actores de amenazas vinculados a Rusia, según un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.

La campaña, observado en febrero de 2026, se ha evaluado que comparte superposiciones con una campaña anterior montada por Laundry Bear (también conocido como UAC-0190 o Void Blizzard) dirigida a las fuerzas de defensa ucranianas con una familia de malware conocida como PLUGGYAPE.

La actividad de ataque «emplea varios señuelos con temas judiciales y de caridad para implementar una puerta trasera basada en JavaScript que se ejecuta a través del navegador Edge», dijo la compañía de ciberseguridad. nombre en clave TALADROel malware es capaz de cargar y descargar archivos, aprovechar el micrófono y capturar imágenes a través de la cámara web aprovechando las funciones del navegador web.

Se han identificado dos versiones diferentes de la campaña, y la primera iteración se detectó a principios de febrero mediante el uso de un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en la carpeta temporal, que luego carga un script remoto alojado en Pastefy, un servicio de pegado legítimo.

Para establecer la persistencia, los archivos LNK se copian a la carpeta de inicio de Windows para que se inicien automáticamente después de reiniciar el sistema. Luego, la cadena de ataque muestra una URL que contiene señuelos relacionados con la instalación de Starlink o una organización benéfica ucraniana llamada Come Back Alive Foundation.

El archivo HTML finalmente se ejecuta a través del navegador Microsoft Edge en modo sin cabezaque luego carga el script ofuscado remoto alojado en Pastefy.

El navegador se ejecuta con parámetros adicionales como –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true y –disable-user-media-security, lo que le otorga acceso al sistema de archivos local, así como a la cámara, el micrófono y la captura de pantalla sin requerir ninguna interacción del usuario.

Básicamente, el artefacto funciona como una puerta trasera liviana para facilitar el acceso al sistema de archivos y capturar audio del micrófono, video de la cámara e imágenes de la pantalla del dispositivo a través del navegador. También genera una huella digital del dispositivo utilizando una técnica llamada huellas digitales en lienzo cuando se ejecuta por primera vez y utiliza Pastefy como solucionador de caídas muertas para recuperar una URL de WebSocket utilizada para comunicaciones de comando y control (C2).

El malware transmite los datos de las huellas dactilares del dispositivo junto con el país de la víctima, que se determina a partir de la zona horaria de la máquina. Comprueba específicamente si las zonas horarias corresponden a Reino Unido, Rusia, Alemania, Francia, China, Japón, Estados Unidos, Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. Si ese no es el caso, por defecto será EE.UU.

La segunda versión de la campaña, detectada a finales de febrero de 2026, evita los archivos LNK para los módulos del Panel de control de Windows, manteniendo la secuencia de infección prácticamente intacta. Otro cambio notable tiene que ver con la propia puerta trasera, que ahora se ha actualizado para permitir la enumeración recursiva de archivos, la carga de archivos por lotes y la descarga de archivos arbitrarios.

«Por razones de seguridad, JavaScript no permite la descarga remota de archivos», dijo LAB52. «Es por eso que los atacantes usan el Chrome DevTools Protocol (CDP), un protocolo interno de los navegadores basados ​​en Chromium que sólo se puede usar cuando el parámetro –remote-debugging-port está habilitado».

Se cree que la puerta trasera aún se encuentra en las etapas iniciales de desarrollo. Se observó que una variante temprana del malware detectada en la naturaleza el 28 de enero de 2026 simplemente se comunicaba con el dominio «gnome».[.]com» en lugar de descargar la carga útil principal de Pastefy.

«Uno de los aspectos más notables es el uso del navegador para implementar una puerta trasera, lo que sugiere que los atacantes están explorando nuevas formas de evadir la detección», dijo el proveedor de seguridad español.

«El navegador es ventajoso para este tipo de actividad porque es un proceso común y generalmente no sospechoso, ofrece capacidades extendidas accesibles a través de parámetros de depuración que permiten acciones inseguras como la descarga de archivos remotos, y proporciona acceso legítimo a recursos confidenciales como el micrófono, la cámara o la grabación de pantalla sin activar alertas inmediatas».

Un presunto actor de amenazas del nexo con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.

Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.

«Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de verificación adjuntos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real», dijo el investigador de seguridad Sudeep Singh. dicho. «El servidor C2 también utilizó técnicas de geocercado y verificación de usuario-agente».

Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidas.

La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual existe un gotero .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.

TWINTASK, por su parte, es una DLL maliciosa («libvlc.dll») que el binario legítimo «vlc.exe» descarga para sondear periódicamente un archivo («C:\ProgramData\PolGuid\in.txt») cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado («C:\ProgramData\PolGuid\out.txt»).

TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído («WingetUI.exe»), lo que provoca que descargue la DLL TWINTALK («hostfxr.dll»). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargar y cargar archivos.

«El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecución de código», dijo Singh. «Tras la ejecución, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».

La segunda cadena de ataque representa una evolución de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la necesidad de escribir artefactos en el disco.

Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.

El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también descubrió la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.

Además, el dominio C2 asociado a TWINTALK, «meetingapp[.]site», se dice que fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para albergar una página falsa de invitación a una reunión de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente vista en los ataques de ingeniería social estilo ClickFix.

El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.

Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (también conocido como APT34).

«Esta campaña, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware».

Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Dragón plateado que se ha relacionado con ataques cibernéticos dirigidos a entidades en Europa y el sudeste asiático desde al menos mediados de 2024.

«Silver Dragon obtiene su acceso inicial explotando servidores de Internet públicos y enviando correos electrónicos de phishing que contienen archivos adjuntos maliciosos», Check Point dicho en un informe técnico. «Para mantener la persistencia, el grupo secuestra servicios legítimos de Windows, lo que permite que los procesos de malware se mezclen con la actividad normal del sistema».

Se estima que Silver Dragon opera dentro del marco de APT41. APT41 es el criptonimo asignado a un prolífico grupo de hackers chino conocido por su objetivo de ciberespionaje en los sectores de salud, telecomunicaciones, alta tecnología, educación, servicios de viajes y medios de comunicación ya en 2012. También se cree que participa en actividades con motivación financiera potencialmente fuera del control estatal.

Se ha descubierto que los ataques organizados por Silver Dragon apuntan principalmente a entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los hosts comprometidos. También se sabe que emplea técnicas como el túnel DNS para la comunicación de comando y control (C2) para evitar la detección.

Check Point dijo que identificó tres cadenas de infección diferentes para entregar Cobalt Strike: Secuestro de dominio de aplicaciónDLL de servicio y phishing basado en correo electrónico.

«Las dos primeras cadenas de infección, el secuestro de AppDomain y el Service DLL, muestran una clara superposición operativa», dijo la empresa de ciberseguridad. «Ambas se entregan a través de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En varios casos, estas cadenas se implementaron tras el compromiso de servidores vulnerables expuestos públicamente».

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo utiliza para colocar MonikerLoader, un cargador basado en NET responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda etapa, por su parte, imita el comportamiento de MonikerLoader, actuando como un conducto para cargar la carga útil final de la baliza Cobalt Strike.

Por otro lado, la cadena de DLL del servicio utiliza un script por lotes para entregar un cargador de DLL de código shell denominado BamboLoader, que está registrado como un servicio de Windows. Es un malware C++ muy ofuscado que se utiliza para descifrar y descomprimir el código shell almacenado en el disco e inyectarlo en un proceso legítimo de Windows, como «taskhost.exe». El binario destinado a la inyección se puede configurar dentro de BamboLoader.

La tercera cadena de infección implica una campaña de phishing dirigida principalmente a Uzbekistán con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado está diseñado para iniciar código PowerShell mediante «cmd.exe», lo que lleva a la extracción y ejecución de cargas útiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:

• documento señuelo
• Ejecutable legítimo vulnerable a la carga lateral de DLL («GameHook.exe»)
• DLL maliciosa también conocida como BamboLoader («graphics-hook-filter64.dll»)
• Carga útil cifrada de Cobalt Strike («simhei.dat»)

Como parte de esta campaña, el documento señuelo se muestra a la víctima, mientras que, en segundo plano, la DLL maliciosa se descarga a través de «GameHook.exe» para finalmente iniciar Cobalt Strike. Los ataques también se caracterizan por el despliegue de diversas herramientas posteriores a la explotación:

• Pantalla plateadauna herramienta de monitoreo de pantalla .NET utilizada para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor.
• SSHcmduna utilidad SSH de línea de comandos .NET que proporciona ejecución remota de comandos y capacidades de transferencia de archivos a través de SSH.
• Puerta de engranajesuna puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.

Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por el atacante y carga un archivo de latido que contiene información básica del sistema. Curiosamente, la puerta trasera utiliza diferentes extensiones de archivo para indicar la naturaleza de la tarea a realizar en el host infectado. Los resultados de la ejecución de la tarea se capturan y cargan en Drive.

• *.pngpara enviar archivos de latidos.
• *.pdfpara recibir y ejecutar comandos, enumerar el contenido de un directorio, crear un nuevo directorio y eliminar todos los archivos dentro de un directorio específico. Los resultados de la operación se envían al servidor en forma de archivo *.db.
• *.taxipara recibir y ejecutar comandos para recopilar información del host y una lista de procesos en ejecución, enumerar archivos y directorios, ejecutar comandos a través de «cmd.exe» o tareas programadas, cargar archivos en Google Drive y finalizar el implante. El estado de ejecución se carga como un archivo .bak.
• *.rarpara recibir y ejecutar cargas útiles. Si el archivo RAR se llama «wiatrace.bak», la puerta trasera lo trata como un paquete de actualización automática. Los resultados se cargan como archivos .bak.
• *.7zpara recibir y ejecutar complementos en la memoria. Los resultados se cargan como archivos .bak.

Los vínculos de Silver Dragon con APT41 se derivan de superposiciones comerciales con scripts de instalación posteriores a la explotación anteriores. atribuido a este último y el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode vinculados a la actividad APT del nexo con China.

«El grupo evoluciona continuamente sus herramientas y técnicas, probando e implementando activamente nuevas capacidades en diferentes campañas», dijo Check Point. «El uso de diversos exploits de vulnerabilidad, cargadores personalizados y comunicación C2 sofisticada basada en archivos refleja un grupo de amenazas adaptable y con buenos recursos».

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.

Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada «propsys.dll» o «batmeter.dll».

La carga útil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable legítimo de Windows (por ejemplo, «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica denominada Carga lateral de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados ​​en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de ganchos de modo de usuario en NTDLL.dll.

Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

«Si bien el malware UAT-10027 comparte superposiciones técnicas con el Grupo Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.

«Sin embargo, […] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativodestacando las superposiciones en la victimología del UAT-10027 con la de otros APT norcoreanos».