Los atacantes se hacen pasar por la infraestructura CDN. Crédito de la imagen: Darktrace
Los piratas informáticos han pasado meses ocultando malware detrás de una infraestructura de Internet falsa con el tema de Apple y ventanas emergentes de Windows igualmente falsas para infiltrarse en organizaciones en toda la región de Asia y el Pacífico sin activar alarmas de seguridad obvias. Así es como lo hicieron.
El malware estaba disfrazado de infraestructura de Internet confiable con temas de Apple y Yahoo. La descarga de software y archivos DLL legítimos de Windows oculta un troyano modular de acceso remoto en el tráfico normal de la red.
La actividad apareció por primera vez en las redes de clientes a finales de septiembre de 2025 y afectó a organizaciones principalmente en las regiones de Asia-Pacífico y Japón. Los investigadores han observado abusos repetidos de ejecutables confiables e infraestructura CDN falsa en entornos corporativos.
Los atacantes se hacen pasar por la infraestructura CDN vinculada a las principales marcas tecnológicas para que el tráfico malicioso parezca legítimo. La descarga de archivos binarios y DLL confiables de Windows luego inicia un troyano modular de acceso remoto .NET.
Los usos frecuentes de la infraestructura temática de Yahoo y Apple incluyen los dominios yahoo-cdn(.)it(.)com e icloud-cdn(.)net. Los sistemas afectados descargan ejecutables válidos antes de restaurar archivos de configuración coincidentes y DLL maliciosos.
Las DLL maliciosas secuestran procesos confiables y ejecutan malware dentro de ellos. La actividad observada se alinea “con confianza media” con el arte asociado con Typhoon Twill, un grupo de amenazas chino.
Los investigadores no llegaron a culpar directamente al gobierno chino por los ataques y señalaron que varios grupos de infiltración vinculados a China compartían varias técnicas.
Los atacantes ocultaron malware en el comportamiento del software confiable
Ningún archivo de malware obvio impulsó la campaña. Los procesos legítimos de Microsoft .NET y Visual Studio, incluidos dfsvc.exe y vshost.exe, ayudaron a que el código malicioso se integrara en la actividad normal de Windows.
Una cadena de intrusión agregó un ejecutable legítimo de Sogou Pinyin a una DLL maliciosa llamada browser_host.dll. El comportamiento común de carga de DLL permite a los atacantes descargar código malicioso en procesos confiables y secuestrar el flujo de ejecución.
Una versión actualizada del marco de puerta trasera FDMTP parece impulsar la carga útil. El malware obtuvo acceso a largo plazo a los sistemas comprometidos a través de comunicaciones cifradas, carga de complementos, persistencia del registro, tareas programadas, perfiles del sistema y canales de comando y control DMTP.
Las listas de bloqueo tuvieron dificultades para captar la campaña porque los nombres de infraestructura reconocidos y las herramientas legítimas del sistema hacían que la actividad maliciosa pareciera tráfico empresarial normal. los defensores solo visto El patrón es obvio después de conectar toda la cadena de ejecución.
El comportamiento es más importante que los indicadores estáticos
Los patrones de ejecución han demostrado ser más efectivos que cualquier muestra de malware o nombre de dominio. Los investigadores observaron repetidamente que los sistemas afectados descargaban un ejecutable legítimo, recuperaban un archivo de configuración coincidente y descargaban una DLL maliciosa.
Al registro de comando y control le sigue un punto final /GetCluster que utiliza tráfico DMTP.
El comportamiento de ejecución consistente brindó a los defensores una forma más duradera de detectar actividades similares. La infraestructura y las cargas útiles cambiaron entre eventos, aunque el modelo de ejecución se mantuvo estable.
Varios detalles técnicos apuntaban a una operación madura. El descifrado de cadenas en tiempo de ejecución, la preparación de carga útil cifrada con AES, la persistencia de complementos a través de claves de registro y los métodos de ejecución alternativos admiten el acceso a largo plazo en varios entornos .NET.
Los indicadores revelados de compromiso incluyen hashes de DLL corruptos, infraestructura CDN falsificada e infraestructura conectada a la actividad. Las asignaciones de MITRE ATT&CK vinculan las operaciones con la inyección de DLL, la persistencia del registro, la carga de código reflectante, las tareas programadas y el tráfico de comando y control.
Cómo pueden protegerse los usuarios de Apple
La mayoría de los usuarios de Apple no se encontrarán directamente con esta sofisticada campaña, pero este incidente muestra cómo el malware moderno explota software confiable y nombres de infraestructura familiares. Los dominios falsos de Apple y el tráfico legítimo pueden dificultar la detección de actividades maliciosas con las herramientas de seguridad tradicionales.
Las DLL maliciosas secuestran procesos confiables y ejecutan malware dentro de ellos Crédito de la imagen: DarktraceActualizar macOS es útil porque Apple integra defensas contra malware con Gatekeeper, XProtect y Notarization. Evite mensajes de seguridad al instalar aplicaciones sin firmar o herramientas de desarrollador de fuentes desconocidas.
Los desarrolladores y usuarios empresariales enfrentan un alto riesgo de ataques a la cadena de suministro dirigidos a ecosistemas de software y herramientas internas. La autenticación multifactor, las revisiones cuidadosas de paquetes y complementos de NPM y los estrictos controles de cuentas de desarrollador minimizan la exposición.
Las herramientas de monitoreo de red pueden detectar tráfico saliente sospechoso que se confunde. Utilidades como Little Snitch brindan a los usuarios de Mac visibilidad sobre dónde se conectan las aplicaciones a servidores externos.
