Google Drive, ahora al servicio del espionaje chino: descubre cómo los hackers se han asentado en la nube
Sospechan que el grupo APT41 atacó entidades gubernamentales explotando vulnerabilidades en software.
El grupo Silver Dragon ha atacado en silencio durante varios años a estructuras estatales y a grandes organizaciones en Europa y el sudeste asiático. Los atacantes comprometen servidores públicos, envían correos de phishing e instalan herramientas maliciosas que se ocultan como procesos habituales de Windows. Los especialistas de Check Point en detalle analizaron una de las últimas operaciones y descubrieron un nuevo backdoor que se comunica con los operadores a través de Google Drive.
La actividad de Silver Dragon se observó al menos desde mediados de 2024. Por varios indicios, la campaña está vinculada con el grupo chino APT41. El objetivo principal de los ataques son las instituciones estatales, aunque también resultaron afectadas otras organizaciones. Con mayor frecuencia los atacantes obtienen acceso a través de servidores web vulnerables. En algunos casos emplean correos de phishing con adjuntos maliciosos.
Tras la intrusión en el sistema, los atacantes se afianzan y ejecutan herramientas de administración remota. En muchos ataques la carga útil final es el Beacon del conjunto Cobalt Strike. La comunicación con los servidores de mando a menudo pasa por la tunelización DNS, lo que ayuda a ocultar la actividad de red y a eludir parte de las herramientas de detección.
El análisis mostró tres cadenas principales de infección. Dos de ellas usan archivos comprimidos con scripts de instalación y bibliotecas maliciosas. El script copia archivos en los directorios del sistema de Windows y luego sustituye los parámetros de inicio de servicios legítimos. Esa técnica obliga al sistema a cargar el código malicioso junto con los componentes habituales del sistema operativo. Para afianzarse, los atacantes también eliminan y vuelven a crear servicios de Windows para forzar la ejecución del proceso infectado.
En una de las cadenas se emplea la técnica de AppDomain hijacking. Un archivo de configuración malicioso cambia el punto de entrada de la aplicación y redirige la ejecución al cargador MonikerLoader. El cargador descifra el módulo siguiente y lo ejecuta directamente en memoria. Al final, el sistema obtiene el Beacon de Cobalt Strike.
El segundo esquema funciona de forma más sencilla. El archivo comprimido contiene el cargador BamboLoader y un shellcode cifrado. El script coloca los archivos en los directorios del sistema y luego registra la biblioteca como un servicio de Windows. Tras iniciarse, BamboLoader descifra el código, lo descomprime e inyecta en un proceso de Windows, por ejemplo taskhost.exe. A continuación se ejecuta el mismo Beacon.
Una campaña separada utilizó correos de phishing. Los destinatarios abrían un adjunto en formato de acceso directo LNK. El archivo ejecutaba la línea de comandos y PowerShell, que extraía del propio acceso directo varios componentes ocultos. Entre ellos había un ejecutable legítimo, una biblioteca maliciosa y la carga útil cifrada. El documento señuelo se abría para distraer la atención, y la biblioteca maliciosa se cargaba mediante el mecanismo de sustitución de DLL.
Aparte de las herramientas estándar, Silver Dragon usa programas propios. Uno de ellos, SilverScreen, hace capturas de pantalla del usuario de forma continua. El programa supervisa los cambios en la imagen y guarda solo los fotogramas con cambios apreciables, para ahorrar espacio y no despertar sospechas.
Otra herramienta, SSHcmd, permite ejecutar comandos y transferir archivos mediante el protocolo SSH. El programa acepta parámetros de conexión por la línea de comandos y puede ejecutar comandos, abrir una shell interactiva o copiar archivos entre sistemas.
El componente más inusual se denomina GearDoor. El backdoor utiliza Google Drive como canal de comando y control. A cada máquina infectada se le crea una carpeta separada en la nube, a través de la cual el programa malicioso recibe órdenes y envía resultados. Las tareas se transmiten en forma de archivos con distintas extensiones. Por ejemplo, los archivos .cab contienen comandos para el sistema, y los .rar pueden entregar nuevos módulos o actualizaciones.
GearDoor es capaz de realizar un amplio conjunto de operaciones: inspeccionar procesos, obtener parámetros de red, copiar archivos, ejecutar comandos de la shell y descargar módulos adicionales. Para transferir datos, el backdoor cifra el contenido y envía el resultado de vuelta a Google Drive.
El análisis de la infraestructura y de las herramientas mostró similitudes con métodos que APT41 había empleado anteriormente. Los scripts de instalación, el esquema de carga de bibliotecas e incluso algunos parámetros del Beacon coinciden con muestras que los especialistas documentaron en campañas previas del grupo chino. Los archivos maliciosos también tienen marcas temporales que coinciden con la zona horaria de China. Los especialistas documentaron estos paralelismos con detalle y vincularon la actividad a una infraestructura ya conocida.
El conjunto de herramientas de Silver Dragon sigue evolucionando. Los atacantes prueban nuevos métodos para afianzarse en el sistema y emplean activamente servicios en la nube para gestionar las máquinas infectadas. Este enfoque ayuda a ocultar la actividad dentro del tráfico de red habitual y dificulta la detección de los ataques.