Una campaña de espionaje sigilosa surgió a principios de 2025 dirigidos a diplomáticos y entidades gubernamentales en el sudeste asiático y más allá.
En el corazón de esta operación se encuentra StaticPlugin, un descargador se disfraza meticulosamente como una actualización legítima de Adobe Plugin.
Las víctimas se encontraron con un secuestro de portal cautivo que redirigió los navegadores a dominios maliciosos, donde una página de destino segura de HTTPS llevó a los usuarios a “instalar complementos faltantes …”, una artimaña a las advertencias de navegador de sospecha y de omisión.
Página de destino de malware (fuente -Google Cloud)
Una vez ejecutado, el binario desplegó una cadena de varias etapas que culminó en el lanzamiento en memoria de la puerta trasera Sogu.Sec.
Después del compromiso inicial, StaticPlugin recupera un paquete MSI disfrazado de una imagen BMP. Dentro de este paquete reside CanonStager, que está cargado de DLL para ejecutar la carga útil cifrada cnmplog.dat.
Esta técnica de carga lateral explota los componentes de Windows de confianza para evadir las defensas basadas en host. Los analistas de Google Cloud identificaron esta nueva combinación de secuestro de portal cautivo y firma de código válido como una evolución sofisticada en la artesanía PRC-NEXUS.
La evidencia indica que Chengdu Nuoxin Times Technology Co., Ltd. emitió los certificados de firma utilizados para StaticPlugin, prestando la falsa legitimidad del descargador.
Estos certificados, emitidos por Globalsign y Let’s Cifrar, permitieron que el malware omitiera muchas soluciones de seguridad de punto final que confían en los binarios firmados digitalmente.
Descargador con firma digital válida (fuente -Google Cloud)
Investigadores de Google Cloud anotado que aunque el certificado original expiró el 14 de julio de 2025, UNC6384 probablemente vuelva a firmar las iteraciones posteriores para mantener el sigilo ininterrumpido.
El análisis detallado de Canonstager revela tácticas de evasión no convencionales. El lanzador resuelve las direcciones de la API de Windows utilizando un algoritmo de hash personalizado y las almacena en el almacenamiento local de Thread (TLS), una ubicación atípica que puede pasar desapercibida por las herramientas de monitoreo.
Ejemplo de direcciones de función de almacenamiento en la matriz TLS (fuente -Google Cloud)
Al invocar estas funciones indirectamente a través de un procedimiento de ventana oculto y enviar un mensaje WM_SHOWWINDOW, CanonStager oculta su verdadero flujo de control dentro de las colas legítimas de mensajes de Windows.
Descripción general de la ejecución de CanonStager utilizando la cola de mensajes de Windows (fuente -Google Cloud)
Evasión de detección a través de la ejecución en la memoria
Una de las innovaciones más notables de UNC6384 radica en su ejecución en memoria de extremo a extremo. Después de establecer la ventana oculta y la resolución de API, Canonstager crea un nuevo hilo para descifrar cnmplog.dat utilizando una tecla RC4 de 16 bytes codificada.
En lugar de escribir la carga útil de Sogu.Sec descifrada en el disco, el lanzador invoca a EnumsystemGeoid como una función de devolución de llamada para ejecutar la puerta trasera directamente en la memoria.
Esta técnica niega a los defensores valiosos artefactos forenses, ya que ningún binario malicioso reside en el disco.
Además, las comunicaciones con el servidor C2 a 166.88.2.90 se producen sobre HTTPS, se combinan con el tráfico web normal y complican aún más la detección basada en la red.
El JavaScript inicial desencadena la descarga de AdoBePlugins.exe, estableciendo el escenario para la ejecución en memoria. Al evitar las escrituras de disco y aprovechar los certificados válidos, UNC6384 ha elevado la barra para el sigilo de malware.
A medida que los analistas de Google Cloud continúan monitoreando esta campaña, se insta a los defensores a inspeccionar artefactos de memoria, aplicar políticas estrictas de firma de código y permitir una navegación segura mejorada para detectar certificados TLS anómalo y secuestros de portal cautivos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
