Se ha observado un grupo de actividad de amenazas conocido como UnsolicitedBooker dirigido a empresas de telecomunicaciones en Kirguistán y Tayikistán, lo que marca un cambio con respecto a ataques anteriores dirigidos a empresas sauditas.
Según un informe publicado la semana pasada por Positive Technologies, el ataque implicó el despliegue de dos puertas traseras diferentes, con nombres en código LuciDoor y MarsSnake.
«El grupo utilizó algunos instrumentos únicos e inusuales de origen chino», dijeron los investigadores Alexander Badaev y Maxim Shamanov.
UnsolicitedBooker fue documentado por primera vez por ESET en mayo de 2025, cuando atacantes alineados con China utilizaron una puerta trasera llamada MarsSnake para lanzar un ciberataque dirigido a una organización internacional anónima en Arabia Saudita. Se estima que el grupo ha estado activo desde al menos marzo de 2023 y tiene un historial de atacar organizaciones en Asia, África y Medio Oriente.
Un análisis más detallado de este actor de amenazas reveló una superposición táctica con otros dos grupos, incluidos los Piratas Espaciales y una campaña aún inexplicable dirigida a Arabia Saudita utilizando otra puerta trasera llamada Zardoor.
El último de una serie de ataques documentados por un proveedor ruso de ciberseguridad se dirigió a organizaciones en Kirguistán a finales de septiembre de 2025, con correos electrónicos de phishing que contenían documentos de Microsoft Office. El correo electrónico de phishing indicaba a los destinatarios que «habilitaran el contenido» para poder ejecutar macros maliciosas cuando se abrieran.
Aunque el documento muestra el plan de precios del proveedor de telecomunicaciones de la víctima, la macro secretamente coloca un cargador de malware C++ llamado LuciLoad, que entrega LuciDoor. Otro ataque observado a finales de noviembre de 2025 empleó la misma técnica, solo que esta vez se utilizó un cargador diferente con nombre en código MarsSnakeLoader para implementar MarsSnake.
En enero de 2026, UnsolicitedBooker supuestamente utilizó correos electrónicos de phishing como vector para dirigirse a empresas en Tayikistán. La cadena de ataque general es la misma, pero en lugar de adjuntarse directamente al mensaje, se incrusta el enlace al documento señuelo.
Escrito en C++, LuciDoor establece comunicación con un servidor de comando y control (C2), recopila información básica del sistema y filtra los datos al servidor en forma cifrada. Luego analiza la respuesta enviada por el servidor, ejecuta comandos usando cmd.exe, escribe archivos en el sistema y carga archivos.
De manera similar, MarsSnake permite a los atacantes recopilar metadatos del sistema, ejecutar comandos arbitrarios y leer y escribir archivos arbitrarios en el disco.
Positive Technologies dijo que también encontró evidencia de que Mars Snake fue utilizada en ataques dirigidos a China. El punto de partida es un acceso directo de Windows que pretende ser un documento de Microsoft Word (*.doc.lnk). Esto desencadena la ejecución de un script por lotes que inicia el script de Visual Basic e inicia MarsSnake sin el componente del cargador.
El archivo señuelo parece estar basado en un archivo LNK asociado con una herramienta de prueba de penetración disponible públicamente llamada FTPlnk_phishing, ya que el tiempo de creación y el indicador de ID de la máquina del archivo LNK son idénticos. Vale la pena señalar que el grupo Mustang Panda utilizó archivos LNK similares en ataques dirigidos a Tailandia en 2022.
«En el ataque, el grupo utilizó herramientas inusuales de origen chino», dijo Positive Technologies. «Curiosamente, el grupo inicialmente usó una puerta trasera a la que llamaron LuciDoor, pero luego cambió a la puerta trasera MarsSnake. Sin embargo, en 2026, el grupo dio un giro de 180 grados y reanudó el uso de LuciDoor».
«Además, en al menos un caso, observamos que los atacantes utilizaban enrutadores pirateados como servidores C2 y, en algunos ataques, su infraestructura imitaba la infraestructura rusa».
PseudoSticky y Cloud Atlas apuntan a Rusia
Esta revelación fue realizada por un atacante previamente desconocido, copiando intencionalmente las tácticas de un grupo de hackers pro ucraniano llamado Sticky Werewolf (también conocido como Angry Likho, MimiStick y PhaseShifters), utilizando malware como RemcosRAT y DarkTrack RAT para atacar organizaciones rusas en los sectores minorista, de construcción e investigación con el objetivo de robar datos integrales y controlar de forma remota.
Este nuevo grupo, llamado PseudoSticky, ha estado activo desde noviembre de 2025. Las víctimas suelen estar infectadas con correos electrónicos de phishing que contienen archivos adjuntos maliciosos que conducen a la implementación de troyanos. Hay indicios de que los actores de amenazas confían en modelos de lenguaje a gran escala (LLM) para desarrollar cadenas de ataque que eliminen DarkTrack RAT a través de PureCrypter.
El proveedor de seguridad ruso F6 dijo: «Un análisis más detallado revela diferencias en infraestructura, implementación de malware y elementos tácticos individuales, lo que nos lleva a inferir que no existe un vínculo directo entre los grupos, sino más bien una imitación deliberada».
Las empresas rusas también han sido atacadas por otro grupo de hackers llamado Cloud Atlas, que utiliza correos electrónicos de phishing que contienen documentos de Word maliciosos para distribuir malware personalizado conocido como VBShower y VBCloud.
“Cuando se abre un documento malicioso, desde el C2 se carga una plantilla remota especificada en uno de los flujos de documentos”, afirma la empresa de ciberseguridad Solar. «Esta plantilla explota la vulnerabilidad CVE-2018-0802. A esto le sigue la descarga de un archivo malicioso utilizando una secuencia alternativa, concretamente VBShower».
Source link
