Se culpa al grupo de Amenaza Persistente Avanzada (APT) vinculado a China, conocido como APT31, por un largo período de ciberataques no detectados dirigidos al sector de tecnología de la información (TI) de Rusia entre 2024 y 2025.
“En 2024-2025, el sector de TI ruso, especialmente las empresas que trabajan como contratistas e integradores de soluciones gubernamentales, se enfrentaron a una serie de ataques informáticos dirigidos”, dijeron en un informe técnico los investigadores de Positive Technologies Daniil Grigoryan y Varvara Koloskova.
Se cree que APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, Perplexed Goblin, RedBravo, Red Keres y Violet Typhoon (anteriormente conocido como Zirconium), ha estado activo desde al menos 2010. Tenemos un historial comprobado de atacar una amplia gama de sectores, incluidos gobierno, finanzas, aeroespacial y defensa, alta tecnología, construcción e ingeniería, telecomunicaciones, medios y seguros.
Este grupo de ciberespionaje se centra principalmente en recopilar información que proporcione ventajas políticas, económicas y militares al gobierno chino y a las empresas estatales. En mayo de 2025, la República Checa acusó a un grupo de piratas informáticos de atacar el Ministerio de Asuntos Exteriores.
Los ataques dirigidos a Rusia se caracterizan por el uso de servicios de nube legítimos que son populares en el país, principalmente Yandex Cloud, para comando y control (C2) y exfiltración de datos, en un intento de integrarse en el tráfico normal y escapar de la detección.
El adversario también supuestamente colocó comandos cifrados y cargas útiles en perfiles de redes sociales nacionales e internacionales, mientras realizaba ataques los fines de semana y días festivos. En al menos un ataque dirigido a una empresa de TI, APT31 se infiltró en su red ya a finales de 2022 y amplió su actividad para coincidir con la temporada navideña de 2023.
En otra intrusión detectada en diciembre de 2024, los actores de amenazas enviaron correos electrónicos de phishing que contenían archivos RAR. El correo electrónico contenía un acceso directo de Windows (LNK) que iniciaba un cargador Cobalt Strike llamado CloudyLoader mediante descarga de DLL. Kaspersky Lab documentó previamente los detalles de esta actividad en julio de 2025, pero se ha identificado cierta superposición con el grupo de amenazas conocido como EastWind.
La firma rusa de ciberseguridad también dijo que había identificado un señuelo de archivo ZIP disfrazado de informe del Ministerio de Relaciones Exteriores de Perú para finalmente implementar CloudyLoader.
Para facilitar las etapas posteriores del ciclo de ataque, APT31 aprovechó una amplia gama de herramientas personalizadas disponibles públicamente. La persistencia se logra configurando tareas programadas que imitan aplicaciones legítimas como Yandex Disk o Google Chrome. Algunos de ellos se enumeran a continuación.
SharpADUserIP, utilidad C# SharpChrome.exe para reconocimiento y detección, SharpDir para extraer contraseñas y cookies de los navegadores Google Chrome y Microsoft Edge, StickyNotesExtract.exe para buscar archivos, Tailscale VPN para extraer datos de la base de datos de Windows Sticky Notes, túnel de desarrollo de Microsoft para crear un túnel cifrado y configurar una red peer-to-peer (P2P) entre un host comprometido y su infraestructura, Owawa para tunelizar el tráfico, IIS AufTime malicioso módulo para robo de credenciales, COFFProxy, una puerta trasera de Linux que utiliza la biblioteca wolfSSL para comunicarse con el C2, una puerta trasera de Golang que admite comandos para canalizar el tráfico, ejecutar comandos, administrar archivos y entregar cargas útiles adicionales. VtChatter, una herramienta que utiliza comentarios codificados en Base64 cada dos horas en un archivo de texto alojado en VirusTotal como un canal C2 bidireccional. OneDriveDoor, una herramienta que utiliza Microsoft OneDrive para comunicarse con el C2. Puerta trasera LocalPlugX para usar como. Una variante de PlugX utilizada para propagarse dentro de redes locales en lugar de comunicarse con C2 CloudSorcerer (una puerta trasera que utiliza servicios en la nube como C2 YaLeak). Herramientas .NET para cargar información en Yandex Cloud
«Si bien APT31 continúa utilizando algunas de sus herramientas más antiguas, repone constantemente su arsenal», dijo Positive Technologies. «Como C2, los atacantes utilizan activamente los servicios en la nube, especialmente los servicios Yandex y Microsoft OneDrive. Muchas herramientas también están configuradas para funcionar en modo servidor, esperando a que los atacantes se conecten a los hosts infectados».
«Además, esta agrupación permite filtrar datos a través del almacenamiento en la nube de Yandex. Estas herramientas y técnicas permitieron que APT31 permaneciera desapercibido dentro de la infraestructura de la víctima durante años. Al mismo tiempo, los atacantes descargaron archivos y recopilaron información confidencial del dispositivo, incluidas contraseñas para buzones de correo y servicios internos de la víctima».
Source link
