💡 Resumen (TL;DR):
- Check Point Research detectó a Silver Dragon, un grupo de hackers enfocado en espiar gobiernos de Europa y el sudeste asiático.
- Utilizan GearDoor, un backdoor personalizado que usa Google Drive para recibir órdenes y evadir la detección.
- Los investigadores vinculan la operación “con alta confianza” al ecosistema de APT41, activos desde 2012.
Investigadores de ciberseguridad de Check Point Research descubrieron una nueva operación de espionaje alineada con los intereses de China, bautizada como Silver Dragon. Este grupo ha estado atacando activamente entidades gubernamentales en el sudeste asiático y Europa desde mediados de 2024, desplegando herramientas avanzadas para infiltrarse en redes estatales y mantener comunicaciones encubiertas mediante servicios legítimos como la nube de Google.
El reporte, publicado este 2 de marzo, vincula a los atacantes “con alta confianza” al ecosistema más amplio de APT41, una prolífica operación de hacking patrocinada por el estado chino conocida por atacar sectores de telecomunicaciones y salud desde 2012. Sin embargo, a diferencia de sus predecesores, el enfoque de Silver Dragon parece estar centrado exclusivamente en ministerios y organismos del sector público.
Infección vía Google Drive y Cobalt Strike
Para lograr su cometido, Silver Dragon utiliza dos puntos de entrada principales: la explotación de servidores expuestos a internet y correos electrónicos de phishing con archivos adjuntos maliciosos. Check Point identificó tres cadenas de infección distintas, pero todas tienen el mismo objetivo: desplegar Cobalt Strike, un framework legítimo de pruebas de penetración que los criminales abusan constantemente para controlar equipos.
Según los hallazgos, las tácticas incluyen el secuestro de AppDomain y la manipulación de DLLs de servicio, entregadas a través de archivos comprimidos una vez que ya están dentro del sistema. Una tercera cadena, dirigida específicamente a objetivos en Uzbekistán, utiliza archivos de acceso directo de Windows armados que activan código PowerShell para cargar DLLs maliciosas.
Para no ser detectados y mantener la persistencia, Silver Dragon secuestra servicios legítimos de Windows como Windows Update y Bluetooth. Según Check Point, esto “permite que los procesos de malware se mezclen con la actividad normal del sistema”, haciendo extremadamente difícil su rastreo por herramientas de seguridad convencionales.
GearDoor: el as bajo la manga
La herramienta más alarmante en su arsenal es GearDoor, un backdoor desarrollado en .NET que se autentica en una cuenta de Google Drive controlada por los atacantes. El malware crea una carpeta dedicada en la nube para cada máquina comprometida, sube datos periódicos de “latido” (heartbeat) y descarga comandos de los operadores disfrazados de archivos ordinarios.
Al usar Google Drive como canal de comando y control (C2), el tráfico malicioso se ve idéntico al uso normal de la nube, burlando firewalls y monitores de red.
El kit de herramientas del grupo también incluye SilverScreen, un implante que captura capturas de pantalla periódicas para monitorear a las víctimas, y SSHCmd, una utilidad ligera para ejecutar comandos remotos y transferir archivos.
La atribución de Check Point se basa en el solapamiento de técnicas con campañas previas de APT41 y el hecho de que los horarios de compilación del malware coinciden consistentemente con la hora estándar de China. “El grupo evoluciona continuamente sus herramientas y técnicas, probando y desplegando activamente nuevas capacidades a través de diferentes campañas”, advirtió la firma de seguridad, describiendo a Silver Dragon como “un grupo de amenazas bien financiado y adaptable”.
