El servidor de actualización abandonado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue utilizado principalmente por los actores de amenaza como parte de una campaña de espías que proporcionó a varias familias de malware, incluidas C6door y Gtelam, principalmente dirigidos a los usuarios en el este de Asia.
«Los atacantes utilizaron cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la nube e inicio de sesión para distribuir malware y recopilar información confidencial».
La campaña, identificada en junio de 2025, es conocida como el nombre en código de las compañías de seguridad cibernética. Los objetivos para las actividades incluyen principalmente oposición, periodistas, investigadores y tecnología/líderes empresariales de las comunidades de Taiwán en China, Taiwán, Hong Kong, Japón, Corea y en el extranjero. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%).
Se dice que el atacante controló el nombre de dominio de revocación («Sogouzhuyin (.) Com») en octubre de 2024, asociado con Sogou Zhuyin, un servicio IME legítimo que dejó de recibir actualizaciones en junio de 2019. Se estima que cientos de víctimas han sido afectados.
«El atacante se hizo cargo de un servidor de actualización abandonado y lo registró, luego usó el dominio para organizar actualizaciones maliciosas desde octubre de 2024», dijeron los investigadores. «A través de este canal, se despliegan múltiples familias de malware, incluidas Gtelam, C6door, Desfy y Toshis».
La familia de malware desplegada tiene una variedad de propósitos, que incluyen acceso remoto (RAT), robo de información y funciones de puerta trasera. Para evitar la detección, los actores de amenaza aprovecharon los servicios de nube de terceros para ocultar la actividad de la red en toda la cadena de ataque.
Estas acciones de malware permiten acceso remoto, robo de información y funciones de puerta trasera. Los atacantes también pueden usar servicios legítimos de almacenamiento en la nube, como Google Drive, ya que la exfiltración de datos señala para ocultar el tráfico de red maliciosa.
La cadena de ataque comienza cuando los usuarios desprevenidos descargan el instalador oficial de Sogou Zhuyin desde Internet. Por ejemplo, la entrada tradicional de la página de Wikipedia china para Sogou Zhuyin, que se cambió en marzo de 2025 para señalar el dominio malicioso DL (.) Sogouzhuyin (.) Com.
El instalador es completamente inofensivo, pero cuando el proceso de actualización automática se activa unas horas después de la instalación, se iniciará una actividad maliciosa y el actualizador «zhuyinup.exe» recuperará el archivo de configuración de actualización de la URL integrada.
Mancillado con Desfy, Gtelam, C6door y Toshis, este proceso de actualización tiene el objetivo final de perfilar y recopilar datos de objetivos de alto valor –
Toshis (descubierto por primera vez en diciembre de 2024) es un cargador diseñado para obtener la carga útil de la próxima etapa (Strike Cobalt o Merlin Agent) de un servidor externo. También es una variante de Xiangoop y se atribuye al Tropic Trooper, y se ha utilizado en el pasado para proporcionar ataques de cobalto o puertas traseras llamadas EntryShell. Desfy (detectado por primera vez en mayo de 2025), spyware que recopila nombres de archivos de dos ubicaciones, escritorio y archivos de programa GTELAM (detectado por primera vez en mayo de 2025), se despojaron la dirección fastidiada de Google el frascado fascrizado por frascado fascrizado con fastización fascrizada con fastización frascadas con fastización frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas frascadas con fasticed. agranado con cesado con cesado con acceso de malde congranado con cesado con cescado de puertas degranadas condenadas con mensajes de malde congrado de maldeo de puertas degranadas condenadas conlescadas conlescadas conlescadas condenadas conlescadas condenadas conlescadas conlescadas con fase frascadas con fase frascadas con fase muy frascadas. agranado con cesado con cesado con acceso de malde congranado con cesado con cescado de puertas degranadas condenadas con mensajes de malde congrado de maldeo de puertas degranadas condenadas conlescadas conlescadas conlescadas condenadas conlescadas condenadas conlescadas conlescadas con fase frascadas con fase frascadas con fase muy frascadas. Fue degranvas con acceso de licuados con licuados con acceso de licuados con mensajes de licuos de hecho de puñetazos con mensajería con mensajería con mensajería con mensajería con mensajería con mensajería con mensajería condenadas con licuados con mensajería conlesb con el sistema de spyware, recopilar información de sistema de espiyware, ejecutar cualquier comando, realizar operaciones de archivos, cargar/descargar archivos, capturar shatetshots, capturar procesos en ejecución, enumerar directorios e insertar shellcecode en el proceso de proceso, Protocolos para comandos y controles.
El análisis posterior de C6door revela la presencia de kanji simplificado integrado dentro de la muestra, lo que sugiere que los actores de amenaza detrás de los artefactos pueden ser competentes en chino.
«Los atacantes todavía estaban en la fase de reconocimiento y buscaban principalmente objetivos de alto valor», dijo Trend Micro. «Como resultado, en la mayoría del sistema de víctimas, no se observó más actividad posterior a la exposición. Cuando se analizó, el atacante inspeccionó el entorno de la víctima y usó códigos de Visual Studio para establecer el túnel».
Curiosamente, hay evidencia de que Toshis se distribuyó a objetivos que utilizan sitios web de phishing. Quizás en relación con las campañas de phishing de lanza dirigidas a Asia Oriental, se ha observado que los ataques de phishing emplean dos enfoques amplios en Noruega y los Estados Unidos.
Proporciona páginas de inicio de sesión falsas que usan cupones o señuelos gratuitos asociados con los lectores de PDF para redirigir y otorgar OAuth a aplicaciones controladas por atacantes, o proporcionan páginas falsas de almacenamiento en la nube que imiten Tencent Cloud Straylink para descargar archivos de Zip Maliciosos que contienen Toshis
Estos correos electrónicos de phishing incluyen URL atrapadas en bobias y documentos señuelo en los que los destinatarios engañan la interacción con contenido malicioso. Finalmente, active una secuencia de ataque de varias etapas diseñada para soltar toshis usando las canciones laterales de DLL.
Trend Micro dijo que Taoth compartirá su infraestructura y herramientas y pintará imágenes de actividades de amenaza previamente documentadas por Itochu y actores de amenazas duraderos centrados en el reconocimiento, el espionaje y el abuso de correo electrónico.
Para combatir estas amenazas, las organizaciones recomiendan auditar rutinariamente su entorno para el software para fin de apoyo y eliminar o reemplazar rápidamente tales aplicaciones. Se recomienda que los usuarios verifiquen los permisos solicitados por la aplicación en la nube antes de otorgar acceso.
«En la operación Sogou Zhuyin, los actores de amenaza mantuvieron un perfil bajo y realizaron un reconocimiento para identificar objetivos valiosos entre las víctimas», dijo la compañía. «Por otro lado, durante la operación de phishing de lanza en curso, los atacantes distribuyeron correos electrónicos maliciosos a los objetivos, una mayor explotación».
Source link
