Hosting gratuito del gobierno: el grupo Ink Dragon transforma servidores estatales en su propia infraestructura

Los investigadores de Check Point Research revelaron una amplia operación de espionaje del grupo APT chino Ink Dragon, que convierte servidores comprometidos de organizaciones gubernamentales en una red distribuida de retransmisión de comandos y tráfico, usando de hecho a las propias víctimas como elemento de su infraestructura de control.

Ink Dragon, también conocido por los nombres Earth Alux, Jewelbug, REF7707 y CL-STA-0049, opera activamente al menos desde principios de 2023. Inicialmente el grupo se concentró en organizaciones gubernamentales, de telecomunicaciones y entidades públicas en el sudeste asiático y en Sudamérica, pero en los últimos meses ha incrementado notablemente su actividad contra estructuras gubernamentales en Europa. Las campañas del grupo se distinguen por un alto nivel de ingeniería, una disciplina operativa cuidadosa y el uso intensivo de componentes legítimos del sistema, lo que permite que los ataques permanezcan desapercibidos durante mucho tiempo.

La característica clave de Ink Dragon es el enfoque según el cual los servidores comprometidos no se limitan a ser usados para espionaje, sino que se integran en una red mundial distribuida de retransmisión. Para ello los atacantes despliegan un módulo IIS especializado, ShadowPad Listener, que se integra en el servidor web y captura discretamente el tráfico HTTP(S). Cada servidor infectado se convierte en un nodo capaz de recibir comandos, reenviarlos a otras víctimas y proxyizar conexiones, ampliando así la infraestructura de control sin emplear servidores C2 dedicados.

El acceso inicial en la mayoría de los casos se logra mediante errores de configuración de IIS y SharePoint conocidos desde hace tiempo pero aún extendidos. Ink Dragon explota activamente vulnerabilidades de deserialización de ASP.NET ViewState, usando valores previsibles o filtrados de machineKey, lo que permite ejecutar código arbitrario. En algunos ataques también se empleó la cadena de vulnerabilidades ToolShell en instalaciones locales de Microsoft SharePoint, que permite la ejecución remota de código sin autenticación e instalación de web shells. En el verano de 2025 el grupo realizó un escaneo masivo buscando servidores SharePoint vulnerables, lo que indica un acceso temprano a los exploits.

Tras obtener una primera posición, los atacantes pasan a un movimiento lateral activo. De las configuraciones de IIS y de los procesos web extraen credenciales de cuentas de servicio que con frecuencia se reutilizan en la infraestructura de la organización. Esto permite a Ink Dragon pasar rápidamente de la ejecución de código en el contexto del proceso web al control total del servidor y luego a autenticarse en equipos vecinos. Para el desplazamiento se emplean ampliamente túneles RDP y capacidades integradas de ShadowPad, y la actividad se camufla como sesiones administrativas legítimas.

El asentamiento en el sistema se logra mediante la creación de tareas programadas y la instalación de servicios con privilegios SYSTEM. Los ejecutables se disfrazan como componentes del sistema de Windows, como conhost.exe, y con frecuencia cuentan con firmas digitales válidas de fabricantes conocidos, lo que reduce la probabilidad de detección. Para elevar privilegios Ink Dragon combina la explotación de vulnerabilidades locales, incluidas técnicas de la familia Potato, con una recolección agresiva de credenciales. En los ataques se usan herramientas propias para volcar LSASS, extraer hashes NTLM y artefactos Kerberos, así como la búsqueda activa de sesiones RDP administrativas "colgadas" de las que se pueden extraer tokens de administradores de dominio.

El grupo presta especial atención al tráfico saliente. En los hosts comprometidos crean reglas locales de firewall que permiten cualquier tráfico outbound haciéndose pasar por componentes legítimos de Windows Defender. Esto convierte a los servidores víctimas en nodos proxy abiertos, útiles para la exfiltración de datos y la retransmisión de comandos.

El elemento central de toda la operación es el módulo IIS ShadowPad. Registra manejadores de URL ocultos vía la API HttpAddUrl, intercepta únicamente las solicitudes "necesarias" y atiende el resto del tráfico como un IIS normal. El módulo puede clasificar los nodos conectados como "servidores" y "clientes", vincularlos automáticamente entre sí y reenviar los datos de forma transparente en ambas direcciones. Como resultado, una organización comprometida puede servir inadvertidamente como nodo intermedio para el control de malware en redes totalmente distintas, incluida la infraestructura de otros estados.

Aparte de las funciones de retransmisión, ese mismo módulo IIS contiene un conjunto completo de comandos de ShadowPad para gestionar el sistema: recopilación de información, trabajo con archivos y procesos, ejecución de shells interactivas y proxy de red. De este modo, cada nodo de la red actúa a la vez como punto de acceso y como parte de una infraestructura C2 distribuida. El análisis de las cadenas de depuración del módulo permitió a los investigadores reconstruir las rutas de retransmisión de comandos y mostrar claramente cómo las víctimas se conectan entre sí.

Después de asentarse, Ink Dragon despliega componentes adicionales postexplotación. Entre ellos hay varios cargadores de ShadowPad con sideloading de DLL, el CDBLoader original que usa el depurador cdb.exe para ejecutar shellcode en memoria, y la herramienta LalsDumper para generar de forma furtiva volcados de LSASS usando llamadas directas al sistema. En las fases posteriores de la intrusión se emplea una versión actualizada del troyano FinalDraft, una plataforma RAT modular que utiliza la API Microsoft Graph y buzones de Outlook como canal de control.

FinalDraft permite configurar de forma flexible la periodicidad de las conexiones, recopilar el historial de conexiones RDP, debilitar mecanismos de protección de Windows y realizar exfiltración de datos a alta velocidad mediante los servicios en la nube de Microsoft. La configuración del malware se liga al equipo concreto, lo que dificulta el análisis y la reutilización de las muestras.

Las víctimas de Ink Dragon son principalmente organizaciones gubernamentales. En los últimos meses se ha registrado un aumento de ataques contra estructuras europeas, y los servidores comprometidos en Europa se han utilizado en operaciones contra objetivos en África y en el sudeste asiático. En varios casos en las mismas plataformas se detectó la actividad de otro grupo chino — RudePanda — que empleó sus propios módulos IIS, web shells e incluso cargó un rootkit de kernel; sin embargo, los investigadores no hallaron coordinación directa entre los grupos.

Según Check Point Research, Ink Dragon muestra un modelo maduro de ciberespionaje en el que la frontera entre "víctima" e "infraestructura de control" llega a desaparecer. Cada nuevo servidor comprometido refuerza la red general, aumentando su resiliencia y sigilo. En esas condiciones la protección de nodos aislados resulta insuficiente: para contrarrestar operaciones de este tipo es necesario identificar y desmantelar toda la cadena de retransmisión, de lo contrario los sistemas comprometidos seguirán operando para los atacantes durante mucho tiempo.