Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera del BORRATOR FINAL

Puerta trasera del BORRATOR FINAL

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

El actor de amenazas, comúnmente conocido como Jewelbug, ha intensificado su enfoque en organizaciones gubernamentales europeas desde julio de 2025, al tiempo que mantiene operaciones activas contra objetivos en el Sudeste Asiático y Sudamérica. Los investigadores rastrean este grupo de actividad como Ink Dragon, un grupo también conocido en la comunidad de seguridad como CL-STA-0049, Earth Alux y REF7707. Se considera que el actor está alineado con China y ha mostrado actividad sostenida desde al menos marzo de 2023.

Identidades múltiples, un clúster coordinado

Las campañas de Ink Dragon reflejan una capacidad de intrusión madura y disciplinada. Sus operadores combinan sólidas habilidades de ingeniería de software con estrategias operativas repetibles, recurriendo con frecuencia a utilidades integradas en la plataforma para integrar la actividad maliciosa con la telemetría empresarial legítima. Esta estrategia deliberada aumenta significativamente el sigilo y dificulta la detección.

Alcance, objetivos e impacto continuo

La campaña sigue activa y ya ha afectado a varias docenas de víctimas. Las organizaciones afectadas abarcan agencias gubernamentales y proveedores de telecomunicaciones de Europa, Asia y África. La magnitud de las víctimas subraya tanto la escalabilidad de la infraestructura del actor como su interés estratégico en redes de alto valor.

Visibilidad temprana y familias clave de malware

La información pública sobre Ink Dragon se hizo pública en febrero de 2025, cuando investigadores documentaron el uso de la puerta trasera FINALDRAFT, también conocida como Squidoor. Este malware es compatible con entornos Windows y Linux. Más recientemente, el grupo fue vinculado a una intrusión prolongada de cinco meses contra un proveedor ruso de servicios de TI, lo que pone de manifiesto su capacidad para mantener acceso encubierto a largo plazo.

Acceso inicial y entrega de carga útil

Ink Dragon suele acceder al sistema explotando aplicaciones web vulnerables con conexión a internet. Estas debilidades se aprovechan para desplegar shells web, que sirven como puntos de lanzamiento para herramientas adicionales como VARGEIT y Cobalt Strike. Estas cargas útiles facilitan las comunicaciones de comando y control, el reconocimiento interno, el movimiento lateral, la evasión de defensas y el robo de datos.

Abuso de la nube y de servicios legítimos

Entre las puertas traseras secundarias del grupo se encuentra NANOREMOTE, que aprovecha la API de Google Drive para intercambiar archivos entre los hosts infectados y la infraestructura controlada por el atacante. La selección de herramientas parece deliberada y situacional, lo que sugiere que los operadores adaptan las implementaciones al entorno de la víctima y priorizan técnicas que se asemejan a patrones de tráfico normales y confiables.

Explotación de ViewState y secuestro de infraestructura C2

Una técnica clave en el manual de Ink Dragon consiste en explotar claves de máquina ASP.NET débiles o mal administradas. Al aprovechar las vulnerabilidades de deserialización de ViewState en servidores IIS y SharePoint, el atacante instala un módulo ShadowPad IIS Listener personalizado. Esto transforma los servidores comprometidos en componentes activos de la red de comando y control del atacante, lo que les permite redirigir el tráfico y los comandos, aumentando significativamente su resiliencia.

De una brecha local a una red de retransmisión global

Esta arquitectura permite enrutar el tráfico no solo a mayor profundidad en una sola organización, sino también a través de redes de víctimas completamente independientes. Como resultado, un servidor comprometido puede actuar silenciosamente como intermediario en una infraestructura más amplia y multicapa. El módulo de escucha admite la ejecución remota de comandos, lo que otorga a los operadores control directo para el reconocimiento y la preparación de la carga útil.

Tácticas de post-explotación y escalada de privilegios

Además del abuso de ViewState, Ink Dragon ha utilizado vulnerabilidades de SharePoint en ToolShell para implementar shells web. Tras la vulnerabilidad inicial, el actor suele realizar varias acciones para consolidar el acceso y escalar privilegios:

  • Aprovechar las claves de la máquina IIS para obtener credenciales administrativas locales y moverse lateralmente a través de túneles RDP
  • Establecer persistencia a través de tareas programadas y servicios maliciosos
  • Volcado de memoria LSASS y extracción de subárboles de registro para elevar privilegios
  • Modificar las reglas del firewall del host para permitir el tráfico saliente y convertir los sistemas en nodos de retransmisión de ShadowPad

Reutilización avanzada de credenciales y compromiso de dominio

En al menos un caso observado, los atacantes identificaron una sesión RDP desconectada pero activa, perteneciente a un administrador de dominio autenticado mediante autenticación a nivel de red con respaldo NTLMv2. Dado que la sesión permaneció cerrada, pero no terminada, la información confidencial de las credenciales persistió en la memoria LSASS. Tras obtener acceso a nivel de sistema, Ink Dragon extrajo el token y lo reutilizó para realizar operaciones SMB autenticadas, escribir en recursos compartidos administrativos y exfiltrar archivos NTDS.dit y subárboles del registro.

Un ecosistema de persistencia modular

En lugar de depender de una sola puerta trasera, Ink Dragon emplea un conjunto de componentes especializados para mantener el acceso a largo plazo. Las herramientas observadas incluyen:

  • Cargador ShadowPad para descifrar y ejecutar el módulo principal de ShadowPad en la memoria
  • CDBLoader, que abusa del depurador de consola de Microsoft para ejecutar código shell y cargar cargas útiles cifradas
  • LalsDumper para extraer memoria LSASS
  • 032Loader para descifrar y ejecutar cargas útiles adicionales
  • FINALDRAFT, una herramienta de administración remota modernizada que abusa de Outlook y Microsoft Graph para comando y control

Evolución de FINALDRAFT

El grupo ha implementado recientemente una nueva variante de FINALDRAFT, diseñada para mayor sigilo y una exfiltración de datos más rápida. Introduce métodos avanzados de evasión, admite la entrega de carga útil en varias etapas y permite el movimiento lateral encubierto. Las órdenes se entregan como documentos codificados que se colocan en el buzón de la víctima, y el implante recupera, descifra y ejecuta mediante un marco de comandos modular.

Superposición con otros actores de amenazas

Los investigadores también han identificado rastros de otro grupo alineado con China, REF3927, también conocido como RudePanda, en varios entornos comprometidos por Ink Dragon. No hay evidencia de coordinación entre ambos, y se cree que la superposición se debe a que ambos actores explotan vectores de acceso iniciales similares en lugar de compartir infraestructura u operaciones.

Un nuevo modelo de amenazas para los defensores

Ink Dragon difumina la línea tradicional entre los hosts infectados y la infraestructura de comando. Cada sistema comprometido se convierte en un nodo funcional en una red controlada por el atacante que se expande con cada nueva víctima. Para los defensores, esto significa que la contención no puede centrarse únicamente en sistemas individuales. Una interrupción eficaz requiere identificar y desmantelar toda la cadena de retransmisión. El uso de ShadowPad centrado en la retransmisión por parte de Ink Dragon representa una de las implementaciones más maduras observadas hasta la fecha, convirtiendo eficazmente las redes de víctimas en la columna vertebral de campañas de espionaje multiorganizacionales a largo plazo.

Tendencias

Mas Visto

Cargando...