En los últimos meses, los investigadores de ciberseguridad han observado un aumento en las campañas específicas de un sofisticado grupo de apts chino aprovechando los servicios comerciales y VPN para enmascarar su infraestructura de ataque.
La aparición de esta táctica coincide con un cambio más amplio hacia plataformas de anonimato mercantilizadas que combinan el tráfico de actores de amenaza con actividad legítima del usuario.
Los vectores de compromiso inicial han incluido correos electrónicos de phishing de lanza que contienen documentos de oficina maliciosa y ataques de agujero de agua que redirigen a las víctimas desprevenidas a los dominios de alojamiento de carga útil.
Una vez que se establece un punto de apoyo, el actor de amenaza despliega un agente proxy de troyano liviano diseñado para imitar el tráfico HTTPS estándar.
Este agente utiliza el protocolo de Troya para evitar el filtrado de red y el gran firewall de China, encapsulando las comunicaciones de comando y control en paquetes TLS aparentemente inocuos.
Los analistas de Spur notaron el uso frecuente de un certificado SSL comodín (*.Appletls (.) Com, Sha1: A26C0E8B1491EDA727FD88B629CE886666387EF5) en los puertos no estandados en el rango de 4000–4099, habilitando la atribución de IP de más de 1,000 múltiples.
El impacto de estas campañas ha sido significativo. Los objetivos de alto valor en Corea del Sur y Taiwán informaron intrusiones persistentes que abarcaban semanas, durante las cuales ocurrieron la exfiltración de documentos propietarios y propiedad intelectual.
Investigadores de estímulo identificado que las redes de víctimas carecían de una inspección adecuada de TLS, permitiendo que el tráfico del proxy troyano pasara más allá de los sistemas de detección de intrusos convencionales.
El movimiento lateral posterior a la compromiso a menudo aprovechó los scripts de PSEXEC y PowerShell personalizados para automatizar la recolección de credenciales y facilitar la ejecución remota.
En un caso ilustrativo, una compañía financiera en Taipei experimentó una violación sigilosa que persistió durante 45 días.
Los adversarios mapearon sistemáticamente la red corporativa antes de iniciar la exfiltración a través de una cadena de lúpulos proxy a través de WGetCloud, un proveedor comercial de VPN con sede en Shenzhen.
WGetCloud (fuente – Spur)
Al canalizar los datos robados a través de más de una docena de nodos de salida de VPN, los atacantes ofuscaron efectivamente su origen y obstaculizaron las investigaciones forenses.
Mecanismo de infección: despliegue de proxy troyano
La carga útil inicial llega como un documento de Microsoft Word que explota CVE-2025-1234, una vulnerabilidad de RCE de día cero en el editor de ecuaciones. Tras el documento abierto, una macro deja caer troyano en %AppData %\ Microsoft \ Windows y registra una tarea programada llamada “WindefenderUpdate” para su persistencia.
El ejecutable es un binario de GO estáticamente vinculado que incrusta la biblioteca de clientes de Protocolo Trojan.
# Dropping Trojan proxy binary $ payload = (io.file) :: readallBytes (“$ env: temp \ macro.bin”) (io.file) :: writeAllBytes (“$ env: appData \ Microsoft \ windows \ trojan.exe”, $ sueldo) # registro de la persistencia /schtasks /create /sc mind /mohods \ trojan.exe “, $ sueldo) # registro de la persistencia /schtasks /create /sc mind /mohod” /Tr “` “$ env: AppData \ Microsoft \ Windows \ Trojan.exe`” – -Config config.json ”
Tras la ejecución, Trojan.exe lee config.json, que contiene una URL de suscripción codificada de Base64 de WGetCloud.
Vinculación de la actividad APT a los nodos WGetCloud (fuente – Spur)
El agente proxy negocia un apretón de manos TLS utilizando SNI “MF429XCIEJYEES2CUSM.Appletls.com” y enruta el tráfico C2 a través de los nodos de salida del proveedor de VPN.
Secuencia de apretón de manos TLS para la comunicación de Trojan Proxy C2 (Fuente – Spur)
Al incorporar sus comunicaciones dentro de los túneles VPN proxy legítimos, el malware logra una sólida evasión de detección y complica los esfuerzos de atribución.
El monitoreo continuo de tareas programadas anómalas y certificados inusuales de TLS sigue siendo crítico para descubrir estas intrusiones avanzadas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
