Se ha observado que un actor de amenazas vinculado a China conocido como APT24 utiliza malware previamente no documentado conocido como BADAUDIO para establecer acceso remoto persistente a redes comprometidas como parte de una campaña de casi tres años.
«Si bien las operaciones anteriores se basaban en una amplia gama de violaciones web estratégicas para comprometer sitios web legítimos, APT24 recientemente pasó a utilizar vectores más sofisticados para atacar organizaciones en Taiwán», dijeron los investigadores de Google Threat Intelligence Group (GTIG), Harsh Parashar, Tierra Duncan y Dan Perez.
«Esto incluye compromisos repetidos de empresas regionales de marketing digital y el uso de campañas de phishing dirigidas para llevar a cabo ataques a la cadena de suministro».
APT24, también conocido como Pitty Tiger, es el apodo que se le da a un grupo que se cree es un grupo de hackers chino que apunta a los sectores gubernamental, de salud, de construcción/ingeniería, minería, organizaciones sin fines de lucro y comunicaciones en los Estados Unidos y Taiwán.
Según un informe de FireEye de julio de 2014, se cree que los atacantes han estado activos ya en 2008, y sus ataques utilizan envíos de correo electrónico para engañar a los destinatarios para que abran documentos de Microsoft Office y explotan fallas de seguridad conocidas en el software (como CVE-2012-0158 y CVE-2014-1761) para infectar sistemas con malware.
Las familias de malware asociadas con APT24 incluyen CT RAT, una variante de Enfal/Lurid Downloader conocida como MM RAT (también conocida como Goldsun-B) y variantes de Gh0st RAT conocidas como Paladin RAT y Leo RAT. Otro malware notable utilizado por los actores de amenazas es una puerta trasera llamada Taidoor (también conocida como Roudan).
Se considera que APT24 está estrechamente relacionado con otro grupo de Amenaza Persistente Avanzada (APT) llamado Earth Aughisky. El grupo también implementó Taidoor en sus campañas, aprovechando la infraestructura previamente atribuida a APT24 como parte de una campaña para distribuir otra puerta trasera llamada Specas.
Según el informe de octubre de 2022 de Trend Micro, ambas cepas de malware están diseñadas para leer la configuración del proxy de un archivo específico: %systemroot%\\system32\\sprxx.dll.
Según los últimos hallazgos de GTIG, la campaña BADAUDIO ha estado en curso desde noviembre de 2022, y los atacantes utilizan abrevaderos, compromisos de la cadena de suministro y phishing selectivo como vectores de acceso inicial.
BADAUDIO, un malware altamente ofuscado escrito en C++, utiliza el aplanamiento del flujo de control para resistir la ingeniería inversa y actúa como un descargador de primera etapa que puede descargar, descifrar y ejecutar cargas útiles cifradas con AES desde un servidor de comando y control (C2) codificado. Funciona recopilando información básica del sistema y extrayéndola a un servidor, que responde con una carga útil que se ejecuta en el host. En un caso, se trataba de una baliza de ataque de cobalto.
Resumen de la campaña BADAUDIO
«BADAUDIO normalmente se manifiesta como una biblioteca de vínculos dinámicos (DLL) maliciosa que aprovecha el secuestro de órdenes de búsqueda de DLL (MITRE ATT&CK T1574.001) para ejecutarse a través de aplicaciones legítimas», dijo GTIG. «La variante observada recientemente muestra una cadena de ejecución sofisticada. El archivo cifrado contiene la DLL BADAUDIO junto con archivos VBS, BAT y LNK».
Desde noviembre de 2022 hasta al menos principios de septiembre de 2025, se estima que APT24 comprometió más de 20 sitios web legítimos, inyectó código JavaScript malicioso que excluía específicamente a los visitantes de macOS, iOS y Android, utilizó la biblioteca FingerprintJS para generar una huella digital única del navegador y mostró ventanas emergentes falsas disfrazadas de actualizaciones de Google Chrome que invitaban a los usuarios a descargar BADAUDIO.
Luego, a partir de julio de 2024, el grupo de piratas informáticos se infiltró en una empresa regional de marketing digital en Taiwán y orquestó un ataque a la cadena de suministro inyectando JavaScript malicioso en una biblioteca de JavaScript ampliamente utilizada distribuida por la empresa, lo que le permitió secuestrar más de 1.000 dominios.
El script de terceros modificado está configurado para hacerse pasar por una red de entrega de contenido (CDN) legítima para acceder al dominio con errores tipográficos, obtener JavaScript controlado por el atacante para tomar huellas dactilares de la máquina y, tras la verificación, mostrar una ventana emergente para descargar BADAUDIO.
«La infracción de junio de 2025 utilizó originalmente la carga de secuencias de comandos condicionales basadas en una identificación web única (nombre de dominio específico) asociada con el sitio web utilizando la secuencia de comandos de terceros comprometida», dijo Google. «Esto sugiere una orientación personalizada para limitar el compromiso web estratégico (MITRE ATT&CK T1189) a un solo dominio».
Ataque a la cadena de suministro JS comprometida para distribuir malware BADAUDIO
«Sin embargo, durante 10 días en agosto, esta condición se levantó temporalmente, permitiendo que los 1.000 dominios que usaban el script se vieran comprometidos antes de que se volvieran a imponer las restricciones originales».
También se ha observado que APT24 realiza ataques de phishing dirigidos desde agosto de 2024, utilizando señuelos asociados con organizaciones de protección animal para engañar a los destinatarios para que respondan y, en última instancia, entregando BADAUDIO a través de archivos cifrados alojados en Google Drive y Microsoft OneDrive. Estos mensajes tienen un píxel de seguimiento incrustado para ver si el objetivo ha abierto el correo electrónico y ajustar el ataque en consecuencia.
«El uso de técnicas avanzadas, que incluyen compromisos en la cadena de suministro, ingeniería social de múltiples capas y explotación de servicios legítimos en la nube, demuestran las capacidades de espionaje persistentes y adaptables de los atacantes», dijo Google en un comunicado.
El Grupo APT, en colaboración con China, apunta al Sudeste Asiático
La divulgación se produce cuando CyberArmor detalla operaciones de espionaje sostenidas orquestadas por actores de amenazas que se cree que tienen vínculos con China contra los gobiernos, los medios y los sectores de noticias de Laos, Camboya, Singapur, Filipinas e Indonesia. Esta actividad ha recibido el nombre en código «Dragón de Otoño».
La cadena de ataque comienza con un archivo RAR que parece enviarse como archivo adjunto en un mensaje de phishing y, una vez extraído, inicia un script por lotes (‘Windows Defender Definición Update.cmd’) que explota una falla de seguridad en WinRAR (CVE-2025-8088, puntuación CVSS: 8,8). Este script establece la persistencia para que el malware se inicie automáticamente la próxima vez que el usuario inicie sesión en el sistema.
También descarga un segundo archivo RAR alojado en Dropbox a través de PowerShell. El archivo RAR contiene dos archivos: un ejecutable legítimo (‘obs-browser-page.exe’) y una DLL maliciosa (‘libcef.dll’). Luego, el script por lotes ejecuta el binario para descargar la DLL, se comunica con el atacante a través de Telegram para obtener comandos («Shell»), captura una captura de pantalla («Screenshot») y suelta una carga útil adicional («Upload»).
«Los controladores de bots (actores de amenazas) utilizan estos tres comandos para recopilar información, espiar la computadora de la víctima y desplegar malware de tercera etapa», dijeron los investigadores de seguridad Nguyen Nguyen y BartBlaze. «Este diseño permite que el controlador permanezca sigiloso y evite ser detectado».
La tercera etapa utiliza nuevamente la descarga de DLL para iniciar la DLL maliciosa (‘CRClient.dll’) usando el binario real (‘Creative Cloud Helper.exe’). Luego descifra y ejecuta el código shell responsable de cargar y ejecutar la carga útil final. Es un implante liviano escrito en C++ que puede comunicarse con un servidor remoto (‘public.megadatacloud(.)com’) y admite 8 comandos diferentes.
65, Utilice «cmd.exe» para ejecutar el comando especificado, recopilar los resultados y extraerlos nuevamente al servidor C2 66, Cargar y ejecutar la DLL 67, Ejecutar el shellcode 68, Actualizar la configuración 70, Leer el archivo proporcionado por el operador 71, Abrir el archivo y escribir el contenido proporcionado por el operador 72, Obtener/establecer el directorio actual 73, dormir a intervalos aleatorios y finalizarse solo
Esta actividad no ha estado vinculada a ningún actor o grupo específico, pero puede ser trabajo de un grupo alineado con China con capacidades operativas intermedias. Esta evaluación se basa en los continuos ataques de los adversarios a países en el Mar de China Meridional.
«La campaña de ataque fue muy selectiva», dijeron los investigadores. «A través de nuestro análisis, observamos con frecuencia que las siguientes etapas estaban alojadas detrás de Cloudflare con restricciones geográficas habilitadas, así como otras restricciones, como permitir solo ciertos agentes de usuario HTTP».
Source link
