¿Qué tiene que ver el audio? El malware BadAudio engañó a expertos en ciberseguridad durante tres años

Google informó sobre una operación de inteligencia de varios años, en la que el grupo APT24, vinculado a China, empleó la herramienta maliciosa hasta entonces desconocida llamada BadAudio. La campaña duró tres años y fue pasando gradualmente a técnicas más sigilosas, afectando tanto a dispositivos individuales como a elementos de la cadena de suministro. Aunque el malware se había utilizado desde hace tiempo, solo se logró detectarlo recientemente, gracias al análisis realizado por el equipo de Google Threat Intelligence Group.

Según los especialistas, el código malicioso se propagó por distintos medios. Desde 2022, los participantes de APT24 emplearon correos de phishing, actualizaciones de software falsificadas y recursos comprometidos. En tres años se sustituyeron más de veinte sitios legítimos, en los que los atacantes inyectaban scripts falsos. Esos fragmentos de código analizaban los parámetros de los visitantes y, al cumplirse los criterios, mostraban una ventana emergente diseñada para parecer una actualización de Windows. A través de ella se inducía a los usuarios a descargar BadAudio.

Posteriormente la campaña se orientó hacia ataques a proveedores de componentes web. En el verano de 2024, APT24 accedió en varias ocasiones a la infraestructura de una empresa taiwanesa de marketing que distribuía bibliotecas JavaScript. Gracias a ello los atacantes pudieron inyectar código malicioso en un componente popular y registrar un dominio que se hacía pasar por un servicio de entrega de contenido en la red.

Esta combinación permitió interferir de forma inadvertida en el funcionamiento de más de mil sitios. A finales de 2024, esa misma empresa volvió a ser atacada: los atacantes sustituían un archivo JSON desde el cual luego se cargaban scripts modificados. Recogían datos sobre los visitantes y los enviaban a un servidor remoto, que decidía las acciones posteriores.

Paralelamente, los miembros de APT24 llevaron a cabo envíos dirigidos, haciéndose pasar por organizaciones de protección animal. Para distribuir BadAudio se emplearon servicios de almacenamiento en la nube, incluidos Google Drive y OneDrive, con el objetivo de aumentar la confianza de los destinatarios. Los correos contenían píxeles de rastreo que confirmaban la lectura. Muchos de esos mensajes fueron bloqueados automáticamente, pero algunos sí alcanzaron a sus objetivos.

El análisis de Google muestra que BadAudio fue diseñado para dificultar al máximo su análisis. Para ocultar la lógica se utilizan estructuras profundamente ofuscadas, incluido un esquema de control plano en el que la ejecución del código se divide en un conjunto de fragmentos dispares bajo el control de un gestor interno de estados. La activación se consigue mediante la alteración del orden de búsqueda de bibliotecas, cuando una aplicación legítima carga sin querer el componente malicioso.

Tras su ejecución, BadAudio recopila información del dispositivo, la cifra con una clave AES incrustada y la envía a un servidor de mando y control previamente configurado. A continuación, el malware descarga un módulo cifrado, lo descifra y lo ejecuta en memoria mediante la técnica de sustitución de bibliotecas. En uno de los episodios se registró la descarga del componente Cobalt Strike Beacon, aunque esa actividad no se observó en todos los casos.

A pesar de su uso prolongado, BadAudio casi no es detectado por las herramientas de seguridad. De ocho muestras enviadas a VirusTotal, solo dos fueron clasificadas con certeza como maliciosas. Las demás fueron reconocidas por pocas soluciones, lo que confirma la alta sigilosidad de la herramienta. El equipo de Google subraya que la evolución de los métodos de APT24 indica la disposición del grupo a llevar a cabo operaciones prolongadas y adaptativas destinadas a la inteligencia y la recopilación de datos.