Cómo hacerse ciberespía en un fin de semana: la fórmula china — un dominio expirado, alojamiento en EE. UU. y algo de camuflaje
Un análisis del malware PlugX revela vínculos entre campañas de ciberataques en Europa y Asia
Mientras la mayoría de las empresas discute nuevas vulnerabilidades, varios grupos de hackers chinos están desplegando silenciosamente infraestructura para operaciones de espionaje. El análisis de nuevas muestras del malware PlugX mostró una red de dominios y servidores utilizada por Mustang Panda, UNC6384 y RedDelta. Algunas de esas direcciones no habían aparecido antes en informes públicos.
Los especialistas de Cyber and Ramen encontraron 14 dominios vinculados a la actividad de espionaje en curso. Todos los dominios conducen a infraestructura de control de sistemas infectados. Los operadores prefieren registrar nombres de dominio caducados, alojarlos en servidores virtuales de la red autónoma 149440, propiedad de Evoxt Enterprise, y luego ocultar los servidores reales detrás de la protección de Cloudflare. Los registros se realizan a través de NameCheap y NameSilo, casi siempre con la protección de datos del propietario activada.
PlugX es un troyano de acceso remoto. El malware existe desde hace más de diez años y aparece regularmente en campañas vinculadas a grupos de hackers chinos. Estos ataques suelen dirigirse contra organismos estatales, misiones diplomáticas y organizaciones de la sociedad civil. Las primeras campañas afectaron a países del sudeste asiático, pero luego los ataques se extendieron a Europa y otras regiones.
En el verano de 2025, el equipo de análisis de amenazas de Google vinculó una operación de espionaje multinivel con el grupo UNC6384. La campaña comenzó con la distribución del cargador STATICPLUGIN firmado digitalmente. Tras su ejecución, el cargador instalaba PlugX. Los analistas de Google descubrieron que UNC6384 y Mustang Panda usan servidores de comando y control superpuestos y distribuyen la misma modificación del malware, conocida como SOGU.SEC.
En enero de 2025 se describió una actividad similar atribuida a RedDelta. La campaña tuvo como objetivos Taiwán, Mongolia y países del sudeste asiático. El grupo empleó la misma técnica: volvía a registrar dominios caducados a través de NameCheap y configuraba la infraestructura con Cloudflare para ocultar los servidores reales.
Una nueva oleada de actividad se manifestó en febrero de 2026. El 24 de febrero, especialistas de la empresa japonesa Internet Initiative Japan analizaron una variante de PlugX que se distribuía mediante un cargador STATICPLUGIN actualizado y se comunicaba con el dominio fruitbrat[.]com. Dos días después, el equipo Lab52 describió otra cadena de infección. El código malicioso ejecutaba la herramienta de compilación MSBuild y cargaba una biblioteca mediante una suplantación de DLL, tras lo cual se conectaba al dominio decoraat[.]net. Ambos dominios forman parte de la misma infraestructura.
La investigación empezó tras la publicación de una muestra de PlugX en la red social X. Un usuario con el alias smica83 subió el archivo Avk.dll y apuntó a un repositorio de malware. Al día siguiente, el investigador Naoki Takayama analizó la muestra y halló cambios en la configuración del malware. La nueva variante usaba cifrado RC4 y codificación de datos. En la configuración aparecía la dirección del servidor de comando: 108.165.255[.]97:443.
Las comprobaciones mostraron que el servidor respondía en los puertos 443, 3389 y 5985. La dirección pertenece a la red de Evoxt Enterprise. Hasta entonces no se había vinculado públicamente la infraestructura de PlugX con ese proveedor.
El examen del certificado en el puerto 443 reveló otro detalle. El servidor usaba un certificado Cloudflare Origin, en cuya lista de nombres de dominio figuraba fruitbrat[.]com. Las entradas WHOIS confirmaron que el dominio se registró a través de NameCheap con servidores de nombres de Cloudflare. La información del propietario está oculta por el servicio de protección de privacidad.
Los datos de registro por sí solos no bastan para identificar con seguridad la infraestructura de PlugX. Hay miles de servidores similares en la red. Por ello los especialistas examinaron señales adicionales. En servidores de la red autónoma 149440 detectaron cabeceras del servidor web nginx en las versiones 1.26.3 y 1.28.0. La convergencia de varios indicadores permitió localizar nuevas direcciones que antes no se mencionaban en los informes.
Evoxt Enterprise proporciona servidores virtuales, principalmente alojados en Estados Unidos. La infraestructura también está presente en Malasia, Japón, Reino Unido, Hong Kong y Alemania. Informes previos sobre ciberataques ya habían vinculado esta red con el alojamiento de servidores de comando y control y de infraestructura intermedia.
La cronología de uno de los dominios muestra un esquema de trabajo característico. A mediados de enero de 2026 se emitió un certificado Cloudflare para fruitbrat[.]com. Ese mismo momento se renovó el registro del dominio y se configuraron los servidores de nombres de Cloudflare. El 6 de febrero apareció una muestra de PlugX vinculada a esa dirección. Al día siguiente los especialistas localizaron el servidor de comando 108.165.255[.]97. Posteriormente, el análisis de la empresa japonesa IIJ confirmó la relación del dominio con el malware.
Entre el registro del dominio, la emisión del certificado y el traslado de la infraestructura transcurren solo de 1 a 3 días. Esa velocidad indica un esquema de despliegue preparado de antemano. Primero los operadores alojan el dominio en un servidor de Evoxt y luego ocultan rápidamente la infraestructura detrás del proxy de Cloudflare para ocultar la dirección real.
Algunos dominios de la red detectada ofrecen páginas web comunes con sitios plantillas sobre tecnología o colaboración. Uno de los dominios, basecampbox[.]com, parece un servicio sencillo para la gestión de proyectos y la comunicación en equipo. Probablemente añadieron plantillas de sitios para camuflar la actividad.
El comportamiento de la infraestructura, las características técnicas de los servidores y los patrones repetidos de nombres de dominio configuran un perfil bastante claro. La correlación con informes publicados anteriormente muestra una alta probabilidad de vínculo con Mustang Panda, UNC6384 y RedDelta.
Los grupos siguen operando con el mismo esquema. Los operadores compran dominios caducados sin mala reputación, los alojan con registradores conocidos y ocultan la infraestructura detrás de Cloudflare con rapidez. Este enfoque dificulta la detección de los servidores de comando y complica que las defensas bloqueen la red maliciosa a tiempo.
Por ahora la infraestructura permanece activa, pero es improbable que Evoxt conserve el papel de proveedor principal por mucho tiempo. Estos grupos suelen cambiar de plataformas. Sin embargo, las costumbres de los operadores delatan las campañas. Incluso tras cambios en la infraestructura, los patrones característicos suelen permanecer.