Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.

Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada «propsys.dll» o «batmeter.dll».

La carga útil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable legítimo de Windows (por ejemplo, «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica denominada Carga lateral de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados ​​en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de ganchos de modo de usuario en NTDLL.dll.

Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

«Si bien el malware UAT-10027 comparte superposiciones técnicas con el Grupo Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.

«Sin embargo, […] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativodestacando las superposiciones en la victimología del UAT-10027 con la de otros APT norcoreanos».