Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera Dohdoor

Puerta trasera Dohdoor

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:

Un grupo de actividad de amenazas no documentado previamente se ha vinculado a una campaña maliciosa en curso dirigida a los sectores de la educación y la salud en Estados Unidos desde al menos diciembre de 2025. Investigadores de seguridad están rastreando esta actividad bajo la designación UAT-10027. El objetivo principal de la campaña es implementar una puerta trasera recientemente identificada, conocida como Dohdoor.

Varias instituciones educativas ya se han visto comprometidas, incluyendo una universidad conectada a varias instituciones afiliadas, lo que sugiere una posible ampliación de la superficie de ataque. También se ha confirmado la presencia de un centro de salud especializado en el cuidado de personas mayores, lo que subraya el enfoque sectorial de la operación.

Cadena de infección y distribución de malware

Aunque el vector de acceso inicial preciso sigue sin determinarse, los investigadores sospechan que la campaña comienza con tácticas de phishing basadas en ingeniería social que finalmente desencadenan la ejecución de un script de PowerShell malicioso.

La secuencia de infección se desarrolla en múltiples etapas:

  • El script de PowerShell recupera y ejecuta un archivo por lotes de Windows desde un servidor de almacenamiento temporal remoto.
  • Luego, el archivo por lotes descarga un archivo DLL malicioso, normalmente llamado "propsys.dll" o "batmeter.dll".
  • La DLL, identificada como Dohdoor, se ejecuta a través de la carga lateral de DLL utilizando binarios legítimos de Windows como 'Fondue.exe', 'mblctr.exe' o 'ScreenClippingHost.exe'.
  • Una vez activa, la puerta trasera extrae una carga secundaria directamente a la memoria y la ejecuta, considerándose que es una baliza Cobalt Strike.

Esta cadena de ejecución de múltiples capas demuestra esfuerzos deliberados para combinar componentes maliciosos con procesos confiables del sistema para evadir la detección.

Infraestructura de mando y control encubierta

Dohdoor utiliza DNS sobre HTTPS (DoH) para gestionar las comunicaciones de Comando y Control (C2). Al cifrar las consultas DNS dentro del tráfico HTTPS, el malware oculta sus comunicaciones dentro de tráfico web cifrado aparentemente legítimo.

El actor de amenazas oculta aún más la infraestructura al enrutar los servidores C2 a través de la red de Cloudflare. Como resultado, las comunicaciones salientes de los sistemas comprometidos aparecen como tráfico HTTPS estándar dirigido a una dirección IP global de confianza.

Este enfoque evita eficazmente los mecanismos defensivos tradicionales, entre ellos:

  • Sistemas de detección basados en DNS y sumideros de DNS
  • Herramientas de monitoreo de red que marcan búsquedas de dominios sospechosos
  • Soluciones de análisis de tráfico convencionales que dependen de consultas DNS visibles

Además de las técnicas de evasión de red, Dohdoor desengancha activamente las llamadas del sistema en NTDLL.dll para evadir las soluciones de detección y respuesta de endpoints (EDR) que dependen de la monitorización de API en modo usuario. Esta capacidad reduce significativamente la probabilidad de detección de comportamiento en el endpoint.

Objetivos operativos y motivación financiera

Hasta el momento, no se ha identificado evidencia confirmada de exfiltración de datos. Aparte del despliegue de Cobalt Strike Beacon como carga útil posterior, no se ha observado ningún otro malware de fase final.

A pesar de la ausencia de ransomware o robo de datos hasta el momento, los analistas consideran que la campaña probablemente tenga una motivación financiera. Esta conclusión se basa en el patrón de victimización y el despliegue de herramientas comúnmente asociadas con los marcos de postexplotación utilizados en intrusiones con fines de monetización.

Análisis de atribución y superposiciones norcoreanas

Se desconoce la identidad del grupo responsable del UAT-10027. Sin embargo, los investigadores han identificado similitudes tácticas entre Dohdoor y LazarLoader, un descargador previamente atribuido al grupo de amenazas norcoreano Lazarus.

Si bien existen superposiciones técnicas con el malware vinculado a Lazarus, el enfoque de la campaña en la educación y la atención médica difiere del enfoque tradicional de Lazarus en las plataformas de criptomonedas y las entidades relacionadas con la defensa.

Sin embargo, la actividad histórica de los actores norcoreanos de amenazas persistentes avanzadas (APT) revela una correlación parcial en la victimología. Por ejemplo, los operadores norcoreanos han implementado el ransomware Maui contra organizaciones sanitarias, y el grupo Kimsuky ha atacado a instituciones educativas. Estos precedentes ponen de relieve coincidencias temáticas con el perfil de ataque de UAT-10027, aunque no se ha establecido una atribución definitiva.

La combinación de técnicas de evasión sofisticadas, selección de sectores y ocultamiento de infraestructura posiciona a UAT-10027 como una amenaza significativa y en evolución que requiere una mayor vigilancia en todos los sectores de servicios críticos.

Tendencias

Mas Visto

Cargando...