Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware BADAUDIO

Malware BADAUDIO

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

La vigilancia de la ciberseguridad sigue siendo esencial, ya que los actores de amenazas perfeccionan continuamente sus tácticas y estrategias. Un grupo vinculado a China, conocido como APT24, ha estado implementando un malware previamente no documentado llamado BADAUDIO para mantener el acceso a largo plazo a redes objetivo. Esta actividad forma parte de una campaña que ha durado casi tres años, lo que pone de relieve los métodos sofisticados y adaptativos que utilizan las amenazas persistentes avanzadas (APT).

De ataques amplios a operaciones dirigidas

Inicialmente, APT24 se basó en ataques web estratégicos de gran alcance para infectar sitios web legítimos. Con el tiempo, el grupo ha cambiado su enfoque hacia ataques más precisos, especialmente contra organizaciones en Taiwán. Los métodos clave incluyen:

  • Ataques a la cadena de suministro, como reiterados ataques a una empresa regional de marketing digital para distribuir scripts maliciosos.
  • Campañas de phishing dirigidas a personas u organizaciones específicas.

APT24, también conocido como Pitty Tiger, se ha centrado históricamente en sectores como el gobierno, la salud, la construcción e ingeniería, la minería, las organizaciones sin fines de lucro y las telecomunicaciones en Estados Unidos y Taiwán. La evidencia sugiere que el grupo ha estado activo desde al menos 2008, utilizando correos electrónicos de phishing que contienen documentos maliciosos de Microsoft Office que explotan vulnerabilidades como CVE-2012-0158 y CVE-2014-1761.

Arsenal de malware: desde las RAT hasta BADAUDIO

APT24 ha implementado una amplia gama de familias de malware:

  • Tomografía computarizada de rata
  • M RAT (Goldsun-B), una variante de Enfal/Lurid Downloader
  • Paladin RAT y Leo RAT, variantes de Gh0st RAT
  • Puerta trasera de Taidoor (Roudan)

El recién descubierto BADAUDIO destaca por su sofisticación. Escrito en C++, presenta un alto grado de ofuscación y emplea aplanamiento del flujo de control para resistir la ingeniería inversa. Actúa como un descargador de primera etapa, capaz de recuperar, descifrar y ejecutar una carga útil cifrada con AES desde un servidor de Comando y Control (C2) codificado.

BADAUDIO suele funcionar como una DLL maliciosa, aprovechando el secuestro del orden de búsqueda de DLL para su ejecución mediante aplicaciones legítimas. Las variantes recientes se distribuyen como archivos cifrados que contienen DLL junto con archivos VBS, BAT y LNK.

La campaña BADAUDIO: Técnicas y ejecución

La campaña BADAUDIO, en curso desde noviembre de 2022, se ha basado en múltiples vectores de acceso iniciales:

  • Abrevaderos
  • Compromisos en la cadena de suministro
  • Correos electrónicos de phishing selectivo

Desde 2022 hasta principios de 2025, APT24 comprometió más de 20 sitios web legítimos, inyectando JavaScript que:

  • Visitantes excluidos de macOS, iOS y Android.
  • Generó huellas dactilares de navegador únicas usando FingerprintJS.
  • Se muestran ventanas emergentes que instan a los usuarios a descargar BADAUDIO disfrazado como una actualización de Google Chrome.

En julio de 2024, el grupo intensificó su ataque a la cadena de suministro a través de una empresa regional de marketing digital en Taiwán, inyectando JavaScript malicioso en una biblioteca ampliamente distribuida. Esto afectó a más de 1000 dominios.

El ataque utilizó un dominio CDN typosquatted para obtener scripts controlados por el atacante, identificar máquinas y mostrar ventanas emergentes falsas. Un mecanismo de carga condicional de scripts, introducido en junio de 2025, permitió la segmentación personalizada de dominios individuales, aunque un breve lapso en agosto permitió que los 1000 dominios se vieran comprometidos antes de que se restableciera la restricción.

Phishing avanzado e ingeniería social

Desde agosto de 2024, APT24 ha llevado a cabo campañas de phishing altamente dirigidas, utilizando como señuelos organizaciones de rescate de animales. Las víctimas reciben archivos cifrados que contienen BADAUDIO a través de Google Drive o Microsoft OneDrive, con píxeles de seguimiento para monitorear la interacción y optimizar los ataques.
La combinación de manipulación de la cadena de suministro, ingeniería social avanzada y abuso de servicios en la nube demuestra la capacidad de APT24 para el espionaje persistente y adaptativo.

Las operaciones de APT24 ilustran la creciente complejidad de las ciberamenazas vinculadas al estado, enfatizando la necesidad de que las organizaciones implementen un monitoreo de seguridad riguroso, verifiquen la integridad del software y eduquen al personal sobre el phishing sofisticado y los riesgos de la cadena de suministro.

Tendencias

Estafa por mensaje entrante en pausa

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes siguen perfeccionando las técnicas de engaño por correo electrónico, y la estafa del "Mensaje entrante en pausa" es un ejemplo más de cómo el spam, diseñado de forma convincente, puede engañar a destinatarios desprevenidos. Estas alertas fraudulentas afirman falsamente que se están reteniendo mensajes en su bandeja de entrada e intentan redirigirlo a una página de...

Mas Visto

Cargando...