{"id":140,"date":"2026-03-04T09:00:39","date_gmt":"2026-03-04T09:00:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/silver-dragon-vinculado-a-apt41-apunta-a-gobiernos-que-utilizan-cobalt-strike-y-google-drive-c2-cyberdefensa-mx\/"},"modified":"2026-03-04T09:00:39","modified_gmt":"2026-03-04T09:00:39","slug":"silver-dragon-vinculado-a-apt41-apunta-a-gobiernos-que-utilizan-cobalt-strike-y-google-drive-c2-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/silver-dragon-vinculado-a-apt41-apunta-a-gobiernos-que-utilizan-cobalt-strike-y-google-drive-c2-cyberdefensa-mx\/","title":{"rendered":"Silver Dragon vinculado a APT41 apunta a gobiernos que utilizan Cobalt Strike y Google Drive C2 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Drag\u00f3n plateado<\/strong> que se ha relacionado con ataques cibern\u00e9ticos dirigidos a entidades en Europa y el sudeste asi\u00e1tico desde al menos mediados de 2024.<\/p>\n

\u00abSilver Dragon obtiene su acceso inicial explotando servidores de Internet p\u00fablicos y enviando correos electr\u00f3nicos de phishing que contienen archivos adjuntos maliciosos\u00bb, Check Point dicho<\/a> en un informe t\u00e9cnico. \u00abPara mantener la persistencia, el grupo secuestra servicios leg\u00edtimos de Windows, lo que permite que los procesos de malware se mezclen con la actividad normal del sistema\u00bb.<\/p>\n

Se estima que Silver Dragon opera dentro del marco de APT41. APT41 es el criptonimo asignado a un prol\u00edfico grupo de hackers chino conocido por su objetivo de ciberespionaje en los sectores de salud, telecomunicaciones, alta tecnolog\u00eda, educaci\u00f3n, servicios de viajes y medios de comunicaci\u00f3n ya en 2012. Tambi\u00e9n se cree que participa en actividades con motivaci\u00f3n financiera potencialmente fuera del control estatal.<\/p>\n

Se ha descubierto que los ataques organizados por Silver Dragon apuntan principalmente a entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los hosts comprometidos. Tambi\u00e9n se sabe que emplea t\u00e9cnicas como el t\u00fanel DNS para la comunicaci\u00f3n de comando y control (C2) para evitar la detecci\u00f3n.<\/p>\n

Check Point dijo que identific\u00f3 tres cadenas de infecci\u00f3n diferentes para entregar Cobalt Strike: Secuestro de dominio de aplicaci\u00f3n<\/a>DLL de servicio y phishing basado en correo electr\u00f3nico.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLas dos primeras cadenas de infecci\u00f3n, el secuestro de AppDomain y el Service DLL, muestran una clara superposici\u00f3n operativa\u00bb, dijo la empresa de ciberseguridad. \u00abAmbas se entregan a trav\u00e9s de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotaci\u00f3n. En varios casos, estas cadenas se implementaron tras el compromiso de servidores vulnerables expuestos p\u00fablicamente\u00bb.<\/p>\n

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo utiliza para colocar MonikerLoader, un cargador basado en NET responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda etapa, por su parte, imita el comportamiento de MonikerLoader, actuando como un conducto para cargar la carga \u00fatil final de la baliza Cobalt Strike.<\/p>\n

Por otro lado, la cadena de DLL del servicio utiliza un script por lotes para entregar un cargador de DLL de c\u00f3digo shell denominado BamboLoader, que est\u00e1 registrado como un servicio de Windows. Es un malware C++ muy ofuscado que se utiliza para descifrar y descomprimir el c\u00f3digo shell almacenado en el disco e inyectarlo en un proceso leg\u00edtimo de Windows, como \u00abtaskhost.exe\u00bb. El binario destinado a la inyecci\u00f3n se puede configurar dentro de BamboLoader.<\/p>\n

\"\"<\/a><\/div>\n

La tercera cadena de infecci\u00f3n implica una campa\u00f1a de phishing dirigida principalmente a Uzbekist\u00e1n con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado est\u00e1 dise\u00f1ado para iniciar c\u00f3digo PowerShell mediante \u00abcmd.exe\u00bb, lo que lleva a la extracci\u00f3n y ejecuci\u00f3n de cargas \u00fatiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:<\/p>\n