{"id":54,"date":"2026-02-26T18:49:11","date_gmt":"2026-02-26T18:49:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/uat-10027-apunta-a-la-educacion-y-la-atencion-medica-de-ee-uu-con-la-puerta-trasera-dohdoor-cyberdefensa-mx\/"},"modified":"2026-02-26T18:49:11","modified_gmt":"2026-02-26T18:49:11","slug":"uat-10027-apunta-a-la-educacion-y-la-atencion-medica-de-ee-uu-con-la-puerta-trasera-dohdoor-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/uat-10027-apunta-a-la-educacion-y-la-atencion-medica-de-ee-uu-con-la-puerta-trasera-dohdoor-cyberdefensa-mx\/","title":{"rendered":"UAT-10027 apunta a la educaci\u00f3n y la atenci\u00f3n m\u00e9dica de EE. UU. con la puerta trasera Dohdoor \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campa\u00f1a maliciosa en curso dirigida a los sectores de educaci\u00f3n y atenci\u00f3n m\u00e9dica en los EE. UU. desde al menos diciembre de 2025.<\/p>\n

Cisco Talos est\u00e1 rastreando la campa\u00f1a bajo el nombre de UAT-10027<\/strong>. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en c\u00f3digo Dohdoor.<\/p>\n

\u00abDohdoor utiliza la t\u00e9cnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva\u00bb, dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campa\u00f1a, se sospecha que implica el uso de t\u00e9cnicas de phishing de ingenier\u00eda social, que conducen a la ejecuci\u00f3n de un script de PowerShell.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de v\u00ednculos din\u00e1micos (DLL) de Windows maliciosa denominada \u00abpropsys.dll\u00bb o \u00abbatmeter.dll\u00bb.<\/p>\n

La carga \u00fatil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable leg\u00edtimo de Windows (por ejemplo, \u00abFondue.exe\u00bb, \u00abmblctr.exe\u00bb y \u00abScreenClippingHost.exe\u00bb) mediante una t\u00e9cnica denominada Carga lateral de DLL<\/a>. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga \u00fatil de la siguiente etapa directamente en la memoria de la v\u00edctima y ejecutarla. Se considera que la carga \u00fatil es una baliza de ataque de cobalto.<\/p>\n

\u00abEl actor de amenazas oculta los servidores C2 detr\u00e1s de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la m\u00e1quina v\u00edctima aparezcan como tr\u00e1fico HTTPS leg\u00edtimo a una direcci\u00f3n IP global confiable\u00bb, dijo Talos. <\/p>\n

\"\"<\/a><\/div>\n

\u00abEsta t\u00e9cnica evita los sistemas de detecci\u00f3n basados \u200b\u200ben DNS, los sumideros de DNS y las herramientas de an\u00e1lisis de tr\u00e1fico de red que monitorean las b\u00fasquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional\u00bb.<\/p>\n

Tambi\u00e9n se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detecci\u00f3n de puntos finales (EDR) que monitorean las llamadas a la API de Windows a trav\u00e9s de ganchos de modo de usuario en NTDLL.dll<\/a>.<\/p>\n

Actualmente no hay claridad sobre qui\u00e9n est\u00e1 detr\u00e1s de UAT-10027, pero Cisco Talos dijo que encontr\u00f3 algunas similitudes t\u00e1cticas entre Dohdoor y Lazarloader, un descargador<\/a> previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abSi bien el malware UAT-10027 comparte superposiciones t\u00e9cnicas con el Grupo Lazarus, el enfoque de la campa\u00f1a en los sectores de educaci\u00f3n y atenci\u00f3n m\u00e9dica se desv\u00eda del perfil t\u00edpico de Lazarus de criptomonedas y objetivos de defensa\u00bb, concluy\u00f3 Talos.<\/p>\n

\u00abSin embargo, [\u2026] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativo<\/a>destacando las superposiciones en la victimolog\u00eda del UAT-10027 con la de otros APT norcoreanos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campa\u00f1a maliciosa en curso dirigida a los sectores de educaci\u00f3n y atenci\u00f3n m\u00e9dica en los EE. UU. desde al menos diciembre de 2025. Cisco Talos est\u00e1 rastreando la campa\u00f1a bajo el nombre de UAT-10027. El objetivo final de los ataques es […]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25],"tags":[27,29,31,24,34,28,30,32,33,26],"class_list":["post-54","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-apunta","tag-atencion","tag-con","tag-cyberdefensa-mx","tag-dohdoor","tag-educacion","tag-medica","tag-puerta","tag-trasera","tag-uat10027"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/54","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=54"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/54\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=54"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=54"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=54"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}