Ha surgido una sofisticada campaña cibernética vinculada por China, apuntando a más de 1,000 dispositivos de la Oficina/Ministerio del Interior (SOHO) en todo el mundo a través de una red avanzada de Relé Operacional (ORB) denominada “Lapdogs”.
Esta operación de infraestructura encubierta, activa desde septiembre de 2023, representa una evolución significativa en las tácticas de guerra cibernética en estado-nación, utilizando dispositivos comprometidos no para ataques disruptivos sino como infraestructura operativa sigilosa a largo plazo.
La campaña demuestra una notable precisión geográfica, con objetivos altamente concentrados en los Estados Unidos y el sudeste asiático, particularmente Japón, Corea del Sur, Hong Kong y Taiwán.
A diferencia de las botnets tradicionales que lanzan ataques ruidosos y llamativos, la red Lapdogs opera con precisión quirúrgica, manteniendo dispositivos infectados que continúan funcionando normalmente mientras sirven como puntos de relé encubiertos para actividades maliciosas.
Este enfoque hace que la detección y la atribución sean excepcionalmente desafiantes para los profesionales de ciberseguridad.
Analistas de SecurityScorecard identificado Esta amenaza previamente no declarada a través de un análisis forense extenso, revelando distintos patrones operativos que sugieren atacantes altamente enfocados y orientados a objetivos.
Los investigadores descubrieron evidencia de crecimiento deliberado de la campaña, con los atacantes que lanzaron ondas de intrusión dirigidas a regiones específicas a través de conjuntos de intrusos bien planificados con el tiempo.
La evidencia forense, incluidas las notas del codificador de mandarín y los patrones de victimología, lideró a los analistas del equipo de huelga para evaluar que la infraestructura de Lapdogs ha sido utilizada por el grupo de amenaza persistente avanzada conocido como UAT-5918.
The Shortleash Backdoor: Arquitectura técnica y mecanismos de persistencia
La sofisticación técnica de la campaña de Lapdogs se centra en “Shortleash”, un malware de puerta trasera personalizada diseñada específicamente para establecer un punto de apoyo persistente en dispositivos SOHO comprometidos.
Este malware emplea una técnica de ofuscación particularmente inteligente al generar certificados TLS autofirmados que se presentan como “LAPD”, que parece hacer referencia al Departamento de Policía de Los Ángeles para obtener cobertura plausible.
Los patrones de generación de certificados revelaron más de 1,000 nodos infectados activamente a nivel mundial, con distintos picos correspondientes a campañas de microintrusión dirigidas a regiones geográficas específicas.
El diseño de la puerta trasera prioriza el sigilo sobre la velocidad, lo que permite a los actores de amenaza mantener el acceso a largo plazo al tiempo que evita los mecanismos de detección tradicionales que se centran en identificar comportamientos de malware ruidosos y disruptivos.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
