En junio de 2025, una campaña previamente indocumentada aprovechó el software de fin de apoyo comenzó a surgir en los datos de telemetría recopilados en todo el este de Asia. Apodado Taoth, la operación explota un editor de métodos de entrada chino abandonado (IME), Sogou Zhuyin, para entregar múltiples familias de malware.
La inteligencia inicial indicó que las víctimas, principalmente usuarios y disidentes tradicionales chinos, descargaron lo que parecían ser actualizaciones legítimas antes de que sus sistemas se vean comprometidos.
El resurgimiento inesperado de un servidor de actualización IME discontinuado permitió a los actores de amenaza para secuestrar la distribución del software e instalar encubiertos, las herramientas de espía y los cargadores sin poner sospechas.
Los investigadores de Trend Micro identificaron un aumento en la actividad maliciosa cuando el dominio lapso para Sogou Zhuyin, latente desde mediados de 2019, comenzó a servir a un instalador malicioso ya en noviembre de 2024. El actualizador comprometido, zhuyinup.exe, se conecta a un punto final de configuración de actualización armada para recuperar el manifiesto de carga de pago.
Posteriormente, los sistemas infectados descargan una de las cuatro familias de malware distintas (Toshis, Desfy, Gtelam o C6door) diseñadas para reconocimiento, robo de información, persistencia o acceso remoto.
Durante varios meses, cientos de individuos de alto valor, incluidos periodistas, ejecutivos de tecnología y activistas en Taiwán, Hong Kong, Japón y comunidades taiwanesas en el extranjero, fueron víctimas de estas intrusiones silenciosas.
Tendencia a los micro analistas anotado Que la sofisticación de la campaña se encuentra no solo en el uso de una cadena de suministro de software abandonada sino también en su proceso de infección en varias etapas.
Al combinar actualizaciones de software secuestradas con operaciones de phishing de lanza, los actores de amenaza lograron una amplia distribución y una orientación selectiva. Las víctimas que hicieron clic en un enlace malicioso o abrieron un documento de señuelo encontraron sus escritorios comprometidos en cuestión de horas.
La telemetría posterior a la infección reveló actividades de reconocimiento adicionales, como la enumeración del directorio, las huellas digitales del entorno y la creación segura del túnel a través de servicios legítimos en la nube.
En un descubrimiento clave, Trend Micro Researchs identificaron cómo zhuyinup.exe recupera la configuración de actualización maliciosa:–
Sub_440110 (l “https://srv-pc.sogouzhuyin.com/v1/upgrade/version”, config_buffer); wcscpy_s (destino, 100, l “Sogou_updater”); sub_419620 (destino, (int) esto, banderas);
Este fragmento demuestra cómo el actualizador consulta un servidor remoto para la próxima carga útil.
La cadena de infección para la primera operación (Fuente – Trend Micro)
El archivo de configuración devuelto contiene URL, hashes MD5 y tamaños de archivo, lo que permite al atacante verificar y ejecutar solo sus binarios diseñados.
Mecanismo de infección y persistencia
Una vez que se lanza el actualizador malicioso, la carga útil elegida, a menudo toshis, empapa el punto de entrada de un ejecutable legítimo para inyectar shellcode.
El cargador calcula los hash de la función API utilizando un algoritmo ADLER-32, luego descarga y descifra la carga útil final de puerta trasera con una tecla AES codificada (QazxswedCVFRTGBN).
La cadena de infección para la segunda operación (Fuente – Trend Micro)
En el caso de C6Door, la puerta trasera basada en GO admite la comunicación HTTP y WebSocket y permite a los operadores ejecutar ShellCode, capturar capturas de pantalla y transferir archivos a través de SFTP.
Para mantener la persistencia, el malware registra un servicio llamado “Sogou_updater” en la cuenta de LocalSystem, asegurando que el IME comprometido vuelva a invocar la rutina de actualización en cada inicio del sistema.
Al abusar de los mecanismos nativos de actualización de Windows e incrustarse en procesos confiables, Taoth sigue siendo altamente sigiloso, evadiendo la mayoría de las defensas de punto final tradicional.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
