Primero vinieron por los periodistas. Luego por los científicos. Ahora — por todos.
La historia de la operación de ciberespionaje de mayor escala en Asia.
Según el informe de Trend Micro, en una amplia operación de ciberespionaje llamada TAOTH los atacantes aprovecharon un servidor de actualizaciones abandonado del editor de método de entrada (IME) chino Sogou Zhuyin y una serie de campañas de phishing dirigidas para propagar malware en países de Asia Oriental. La campaña se enfocó en disidentes, periodistas, académicos y personas influyentes en China, Taiwán, Japón, Corea del Sur y Hong Kong, e incluyó también a comunidades taiwanesas en el extranjero.
El episodio inicial está relacionado con el IME Zhuyin, la versión de Sogou popular en Taiwán. Tras el fin del soporte en 2019, el dominio de actualizaciones quedó abandonado. En octubre de 2024 los atacantes lo registraron y comenzaron a distribuir actualizaciones maliciosas mediante un instalador falso y la utilidad oficial ZhuyinUp.exe, incorporando una URL de configuración de actualizaciones. A través de esta cadena se descargaron en los equipos de las víctimas cuatro familias distintas de malware —TOSHIS, C6DOOR, DESFY y GTELAM—. Para ocultar la actividad se emplearon servicios en la nube de terceros.
TOSHIS es un módulo cargador que modifica el punto de entrada de archivos PE legítimos para inyectar shellcode. El malware estuvo activo al menos desde diciembre de 2024 y es una variante de la familia Xiangoop. Utiliza el algoritmo Adler-32 para resolver hashes de API, descarga cargas útiles adicionales (por ejemplo, COBEACON y el agente Merlin) y solo opera en sistemas con identificadores de idioma zh-TW, zh-CN o ja-JP. Todas las muestras usan la misma clave de descifrado para la carga útil.
DESFY se observó por primera vez en mayo de 2025 y recopila nombres de archivos desde el Escritorio y desde Program Files, enviándolos al servidor C2 mediante peticiones POST. El propósito de la herramienta es evaluar el valor de la víctima. GTELAM actúa de forma similar, pero se centra en documentos de formatos populares (PDF, DOCX, XLSX, etc.), enviando listas de archivos cifradas a Google Drive. Ambos programas realizan labores de reconocimiento para seleccionar objetivos prometedores.
C6DOOR es un backdoor avanzado desarrollado en Go con soporte para HTTP y WebSocket. Puede ejecutar más de 15 comandos, incluidos capturas de pantalla, inyecciones de shellcode, escaneo de puertos, ejecución de comandos vía SSH y transferencia de archivos.
Tras la infección, los operadores pasaban a una fase de reconocimiento: ejecutaban utilidades del sistema, analizaban la configuración de red y, en uno de los casos, descargaron la versión CLI de Visual Studio Code para establecer un túnel mediante code.exe tunnel. Esto apunta a la intención de obtener acceso remoto al entorno de la víctima.
La segunda parte de la campaña se desarrolló en paralelo y se basó en envíos de phishing dirigidos a la misma audiencia. Los correos contenían documentos maliciosos o enlaces a páginas de inicio de sesión y almacenamiento en la nube falsos. Como señuelos se usaron temas relacionados con política, publicaciones científicas e iniciativas periodísticas. Un escenario incluía la descarga del archivo material.zip con un PDF dañado y un ejecutable troyano PDFreader.exe. Mediante DLL Sideloading se ejecutaba el módulo McVsoCfg.dll —el cargador TOSHIS—. A continuación se cargaban componentes maliciosos adicionales y el documento falso.
Una vía alternativa de ataque eran páginas de autorización falsas (por ejemplo, con temas de «regalos de cumpleaños gratis»), que redirigían a la víctima a un enlace OAuth solicitando acceso al correo electrónico a través de aplicaciones controladas por los atacantes. Se detectaron solicitudes OAuth tanto de Google como de Microsoft con permisos para leer y enviar correos. Estas capacidades permiten a los atacantes interceptar comunicaciones y propagar phishing entre los contactos de la víctima.
Toda la actividad de TAOTH está estrechamente relacionada con ataques documentados previamente. Los rasgos comunes incluyen coincidencias en las direcciones IP de la infraestructura C2 (por ejemplo, 45.32.117.177), marcas de agua idénticas en Cobalt Strike Beacon, métodos de explotación similares (túneles a través de VSCode, ataques a la cadena de suministro mediante software legítimo como YouDao y Sogou) y solapamiento geográfico de los objetivos.
Los especialistas señalan que TAOTH todavía se encuentra en una fase de recolección de información y no realiza ataques a gran escala. No obstante, el grado de sofisticación técnica y la elección de objetivos indican un alto nivel de pericia por parte de los operadores. Para protegerse de amenazas similares se recomienda eliminar a tiempo el software obsoleto, verificar las fuentes de descarga y prestar atención a las solicitudes OAuth, sobre todo si proceden de aplicaciones poco conocidas.