Se cree que el grupo de actividad de amenazas previamente indocumentado proviene de una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los Estados Unidos desde al menos diciembre de 2025.
Cisco Talos realiza un seguimiento de esta campaña con el nombre UAT-10027. El objetivo final del ataque es crear una puerta trasera nunca antes vista cuyo nombre en código es Dohdoor.
«Dohdoor utiliza tecnología DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar de forma reflexiva otros binarios de carga útil», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad en un informe técnico compartido con The Hacker News.
Actualmente se desconoce el vector de acceso inicial utilizado en esta campaña, pero se cree que incluye el uso de técnicas de phishing de ingeniería social que conducen a la ejecución de scripts de PowerShell.
Luego, el script descarga y ejecuta el script por lotes de Windows desde el servidor intermedio remoto. Esto facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada ‘propsys.dll’ o ‘batmeter.dll’.
Las cargas útiles de DLL (como Dohdoor) se inician mediante ejecutables legítimos de Windows (como «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica conocida como descarga de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar y ejecutar la carga útil de la siguiente etapa directamente en la memoria de la víctima. Se considera que la carga útil es una baliza de ataque de cobalto.
«Los atacantes ocultan sus servidores C2 detrás de la infraestructura de Cloudflare, haciendo que todas las comunicaciones salientes de las máquinas víctimas parezcan tráfico HTTPS legítimo a direcciones IP globales confiables», dijo Talos.
«Esta tecnología evita los sistemas de detección basados en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, garantizando que las comunicaciones de malware C2 permanezcan sigilosas a través de la infraestructura de seguridad de red tradicional».
También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de enlaces de modo de usuario en NTDLL.dll.
Actualmente no está claro quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader. Lazarloader es un programa de descarga previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.
«Aunque el malware UAT-10027 tiene una superposición técnica con el Grupo Lazarus, el enfoque de esta campaña está en los sectores de educación y salud, desviándose del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.
«Sin embargo, (…) los actores norcoreanos de las APT han apuntado al sector de la salud con el ransomware Maui, y otro grupo norcoreano de las APT, Kimsuky, ha apuntado al sector educativo, destacando la superposición de la huella del UAT-10027 con otras APT norcoreanas.»
Source link
