Campaña TAOTH: Servidor abandonado de Sogou Zhuyin usado para espionaje

En junio de 2025, investigadores de Trend Micro revelaron una sofisticada campaña de espionaje bautizada como TAOTH, en la que actores de amenazas aprovecharon un servidor de actualización abandonado del software de editor de métodos de entrada (IME) Sogou Zhuyin. Este ataque permitió la distribución de múltiples familias de malware altamente especializadas, como C6DOOR, GTELAM, DESFY y TOSHIS, en una operación dirigida principalmente contra usuarios del este de Asia.

De acuerdo con los analistas Nick Dai y Pierre Lee, los atacantes emplearon cadenas de infección complejas que incluían actualizaciones secuestradas, almacenamiento en la nube falso y páginas de inicio de sesión fraudulentas. Su objetivo principal era robar información confidencial y espiar a víctimas estratégicas, entre ellas disidentes políticos, periodistas, investigadores, líderes tecnológicos y empresariales.

Cómo se aprovechó el servidor de Sogou Zhuyin

El ataque tiene su origen en octubre de 2024, cuando los cibercriminales tomaron control del dominio caducado sogouzhuyin[.]com, vinculado al popular software IME, el cual había dejado de recibir soporte desde 2019. Un mes después, el dominio se utilizó para alojar actualizaciones maliciosas que se distribuían a usuarios que aún instalaban el programa desde fuentes legítimas, como la página de Wikipedia en chino tradicional, manipulada en marzo de 2025 para redirigir a los visitantes al dominio comprometido dl[.]sogouzhuyin[.]com.

Aunque el instalador original era inocuo, el problema surgía al activarse el proceso de actualización automática. El binario ZhuyinUp.exe obtenía archivos de configuración desde un servidor controlado por los atacantes, lo que abría la puerta a la descarga de malware en segundo plano.

Malware utilizado en la campaña TAOTH

Los investigadores identificaron cuatro familias principales de malware desplegadas en esta operación:

• TOSHIS: un cargador detectado por primera vez en diciembre de 2024, diseñado para obtener cargas útiles de segunda etapa como Cobalt Strike o el agente Merlin del framework Mythic. Es una variante del malware Xiangoop, previamente atribuido al grupo Tropic Trooper.
• DESFY: detectado en mayo de 2025, funciona como un spyware que recopila información básica sobre archivos almacenados en el escritorio y en carpetas de programas.
• GTELAM: también identificado en mayo de 2025, está diseñado para filtrar archivos sensibles con extensiones como PDF, DOC, XLS y PPT. Los datos recopilados se exfiltran hacia Google Drive, lo que permite a los atacantes ocultar el tráfico malicioso dentro de servicios legítimos.
• C6DOOR: una puerta trasera escrita en Go, con capacidades de comando y control a través de HTTP y WebSocket. Permite ejecutar comandos, administrar archivos, tomar capturas de pantalla, listar procesos, cargar o descargar datos y hasta inyectar código malicioso en procesos específicos.

El análisis de C6DOOR mostró caracteres chinos simplificados incrustados en su código, lo que sugiere que el actor de amenazas domina este idioma y probablemente opera desde la región.

Estrategias de evasión y spear-phishing

Para dificultar la detección, los atacantes aprovecharon servicios legítimos de almacenamiento en la nube, como Google Drive y Tencent Cloud, utilizados tanto para exfiltrar datos como para disfrazar el tráfico malicioso.

Además, la campaña incluyó variantes de spear-phishing con correos electrónicos que contenían enlaces trampa y documentos señuelo. Estos ataques adoptaron un enfoque doble:

• Páginas de inicio de sesión falsas, disfrazadas como ofertas de cupones o descargas de PDF, que buscaban obtener permisos OAuth y acceso a correos de Google o Microsoft.
• Sitios de almacenamiento en la nube falsos, que distribuían archivos ZIP maliciosos con TOSHIS integrado.

En varios casos, se observaron intentos de engaño a usuarios de alto perfil, incluso fuera de Asia, con algunos objetivos en Noruega y Estados Unidos.

Impacto geográfico y perfiles de víctimas

El análisis de Trend Micro reveló que Taiwán representó el 49% de las víctimas, seguido de Camboya (11%) y Estados Unidos (7%). Otros países afectados incluyen China, Hong Kong, Japón y Corea del Sur, así como comunidades taiwanesas en el extranjero.

Aunque la mayoría de las intrusiones parecían centrarse en reconocimiento y perfilado de objetivos de alto valor, los expertos advirtieron que estas actividades podrían escalar hacia ataques más destructivos o de largo plazo en el futuro.

Lecciones de seguridad y mitigación

La operación TAOTH subraya un problema recurrente en ciberseguridad: el abuso de software descontinuado o servidores abandonados. Los atacantes se aprovecharon de un programa popular que, pese a haber quedado obsoleto, seguía disponible en Internet.

Las principales recomendaciones para empresas y usuarios incluyen:

• Eliminar o reemplazar software en fin de soporte, que no recibe parches de seguridad.
• Auditar entornos digitales en busca de aplicaciones vulnerables o configuraciones inseguras.
• Verificar permisos en aplicaciones en la nube antes de conceder acceso a datos sensibles.
• Implementar autenticación multifactor (MFA) y soluciones avanzadas de monitoreo para detectar anomalías de tráfico.

En fin, la campaña TAOTH representa un caso claro de cómo los cibercriminales explotan infraestructura abandonada para lanzar ataques de espionaje altamente dirigidos. El uso de actualizaciones manipuladas, malware modular y servicios en la nube legítimos demuestra un nivel de sofisticación que pone en riesgo tanto a usuarios individuales como a organizaciones críticas.

Aunque en muchos casos la actividad observada parecía limitarse al reconocimiento, el potencial de escalamiento hacia exfiltración masiva de datos o ataques sostenidos es evidente. Este episodio resalta la importancia de una gestión responsable del software obsoleto y de una defensa activa contra campañas de espionaje digital patrocinadas por Estados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login