
El malware avanzado previamente atribuido a atacantes vinculados a China ha resurgido después de más de cuatro años dentro de una empresa de fabricación taiwanesa, junto con una puerta trasera no reportada anteriormente llamada «Stupig».
Daxin (“srt64.sys”), conocido como rootkit en modo kernel, fue documentado por primera vez por Symantec, propiedad de Broadcom, en marzo de 2022, y la evidencia ha demostrado que se ha utilizado en ataques dirigidos contra gobiernos y otros objetivos de infraestructura crítica desde 2013.
Daxin todavía está activo después de que se descubrió que se ejecutaba en hosts comprometidos en Taiwán en 2026, según los últimos hallazgos de Symantec y el equipo Carbon Black Threat Hunter. También se dice que la misma máquina perteneciente a una filial con sede en Taiwán de un fabricante multinacional de alta tecnología está infectada con Stupig (‘a.dll’ o ‘kbdus1.dll’). Este nombre de archivo intenta hacerse pasar por «kbdus.dll», una DLL legítima de Microsoft asociada con la distribución del teclado en inglés de EE. UU.
«Stupig utiliza técnicas que no están documentadas en ninguna familia de malware conocida», dijo la división de ciberseguridad de Broadcom. «Una DLL de diseño de teclado troyanizada cargada por ‘winlogon.exe’ permite a un atacante ejecutar comandos como Sistema directamente desde la pantalla de inicio de sesión de Windows antes de que alguien inicie sesión, sin desencadenar un evento de auditoría de inicio de sesión».
Lo que hace que esta intrusión se destaque es que ambos artefactos tienen marcas de tiempo de compilación de principios de 2013. Sin embargo, las máquinas comprometidas no comenzaron a informar telemetría hasta el 12 de mayo de 2026. Dada la capacidad de los actores de amenazas de permanecer sin ser detectados durante largos períodos de tiempo, este ataque podría haber pasado desapercibido durante 13 años.
No vemos ninguna superposición de niveles de código entre Daxin y Stupig. Sin embargo, su implementación conjunta en el mismo host, capacidades complementarias, prácticas de desarrollo similares y marcas de tiempo de compilación de 2013 sugieren que pueden ser obra del mismo actor de amenazas.
Daxin tiene un enfoque inusual de mando y control. En lugar de establecer directamente conexiones salientes con una infraestructura controlada por el atacante, las puertas traseras del controlador en modo kernel de Windows monitorean el tráfico TCP entrante en busca de patrones específicos y secuestran conexiones legítimas existentes para que las comunicaciones C2 cifradas se mezclen con la actividad normal. Proporciona funcionalidad para interactuar con máquinas que están físicamente desconectadas de Internet.
«Esto hizo que Daxin fuera extremadamente difícil de identificar mediante el monitoreo de red tradicional», señaló Broadcom. «El malware también admitía comunicación de múltiples saltos a través de una cadena de hosts infectados, lo que permitía a los operadores acceder a sistemas en segmentos de red aislados».

Aún no está claro cuándo y cómo se vio comprometido el host, pero se cree que es una versión anterior del portal de inicio de sesión único (SSO) de Digiwin que utilizaba instalaciones del Java Development Kit (JDK) 1.5 y 1.6 que datan de 2009-2011.
«Stupig es una puerta trasera DLL que logra persistencia registrándose como proveedor de distribución de teclado, que win32k.sys carga en winlogon.exe durante el inicio del sistema», explicó el equipo de Threat Hunter. «La DLL devuelve un puntero KBDTABLES válido, por lo que la distribución del teclado funciona bien y no se proporciona nada al proceso o al administrador que inspecciona el módulo cargado».
Cuando se inicia dentro de ‘winlogon.exe’, monitorea la pantalla de inicio de sesión de Windows en busca de nombres de usuario que comiencen con la cadena ‘stupig’. Cuando ingresa un nombre de usuario, la cadena que sigue al prefijo se interpreta como un comando y se ejecuta con privilegios de SISTEMA. Si no ingresa el comando después del prefijo, se generará una sesión de símbolo del sistema como SISTEMA en la pantalla de inicio de sesión.
El descubrimiento de Daxin en 2026 demuestra que el ciberespionaje no se ha detenido por completo. En cambio, se volvió silencioso y continuó existiendo de manera encubierta dentro de la red del objetivo.
«Stupig se esconde dentro del proceso de inicio de sesión de Windows y se registra como proveedor de diseño de teclado, lo que brinda a los operadores ejecución de comandos a nivel de SISTEMA y robo de credenciales antes de que un usuario pueda iniciar sesión. Este es un método de acceso que la mayoría de los defensores no conocen ni monitorean», dijeron Symantec y Carbon Black. «No podemos confirmar si el mismo operador ha implementado ambas herramientas, pero su funcionalidad es complementaria».
Esta divulgación se produce después de que Hunt.io anunciara que había observado que actores de amenazas vinculados a China utilizaban modelos Anthropic Claude Code y DeepSeek para automatizar intrusiones en sistemas gubernamentales y financieros en Afganistán, Tailandia, Taiwán y Estados Unidos. Este descubrimiento se basa en un directorio abierto (‘112.213.124(.)132’) que comparte la misma huella digital del encabezado HTTP que la infraestructura conocida de comando y control (C2) de TencShell.
«Procesaron inferencias para técnicas de derivación, reelaboraron exploits después de intentos fallidos y crearon páginas de phishing utilizadas para recolectar credenciales», dijo la firma de inteligencia de amenazas.
«Claude Code actúa como motor de ejecución, gestiona el uso de herramientas de agentes, ejecuta comandos bash, persistencia de sesiones y paralelización de tareas. DeepSeek-v4-pro actúa como modelo de inferencia subyacente, manejando la lógica de ataque, la generación de scripts y la toma de decisiones. Esto significa que la lógica de ataque se dirige a través del LLM dentro de China, aprovechando la infraestructura de ejecución de agentes de Anthropic».
Source link
