Underc0de - La Casa de los Informáticos

El grupo de amenazas persistentes avanzadas APT31, vinculado a China, ha sido atribuido a una serie de ciberataques altamente sofisticados contra el sector tecnológico ruso entre 2024 y 2025. Las intrusiones, que permanecieron indetectadas durante largos periodos, reflejan una evolución significativa en las técnicas de espionaje digital empleadas por actores patrocinados por Estados.

Según un informe técnico de los investigadores Daniil Grigoryan y Varvara Koloskova de Positive Technologies, las campañas tuvieron como objetivo principal empresas de TI que actúan como integradores de soluciones o contratistas de agencias gubernamentales rusas, posicionándolas como nodos estratégicos dentro de cadenas de suministro digitales y entornos críticos.

¿Quién es APT31?

APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (antes Zirconium), es un grupo de ciberespionaje activo al menos desde 2010. Tiene un historial bien documentado de ataques a:

• Gobiernos y organizaciones estatales
• Sector financiero
• Industria aeroespacial y defensa
• Tecnología avanzada
• Telecomunicaciones
• Infraestructura y construcción
• Medios de comunicación y seguros

Su objetivo principal es recopilar inteligencia estratégica que pueda beneficiar a entidades gubernamentales y corporaciones estatales chinas en términos políticos, económicos y militares.

En mayo de 2025, incluso la República Checa atribuyó oficialmente a APT31 un ciberataque contra su Ministerio de Asuntos Exteriores, reforzando la percepción de este actor como una amenaza global de alto nivel.

Infraestructura en la nube: el arma invisible de APT31

Uno de los aspectos más relevantes de esta campaña contra Rusia es el uso intensivo de servicios legítimos en la nube, especialmente aquellos populares en el país, como Yandex Cloud y Microsoft OneDrive, para operaciones de:

• Comando y control (C2)
• Exfiltración de datos
• Persistencia encubierta

Al utilizar infraestructuras cloud ampliamente utilizadas, APT31 consigue integrarse en el tráfico legítimo y evadir sistemas tradicionales de detección, dificultando su identificación por parte de los equipos de ciberseguridad.

Además, los atacantes organizaron comandos cifrados en perfiles de redes sociales, nacionales e internacionales, introduciendo códigos ocultos para la comunicación con sus implantes. Las operaciones se ejecutaban principalmente durante fines de semana y días festivos, aprovechando la menor supervisión en entornos corporativos.

Vectores de ataque utilizados

En una intrusión detectada en diciembre de 2024, APT31 utilizó un ataque de spear-phishing dirigido, enviando correos electrónicos que contenían un archivo RAR. Este archivo incluía un acceso directo .LNK que ejecutaba una carga maliciosa mediante carga lateral de DLL, activando el cargador CloudyLoader de Cobalt Strike.

Este mismo patrón fue documentado meses después por Kaspersky, que vinculó la actividad con un conjunto de amenazas conocido como EastWind, evidenciando conexiones operativas entre campañas.

También se identificó un archivo ZIP malicioso que se hacía pasar por un informe del Ministerio de Asuntos Exteriores de Perú, utilizado como señuelo para engañar a las víctimas y ejecutar el malware.

Arsenal técnico de APT31

APT31 demuestra una capacidad avanzada al combinar herramientas personalizadas con utilidades públicas, facilitando el movimiento lateral, la persistencia y la exfiltración. Entre las herramientas identificadas destacan:

• SharpADUserIP: reconocimiento de red y descubrimiento de usuarios
• SharpChrome.exe: robo de contraseñas y cookies en Chrome y Edge
• SharpDir: búsqueda de archivos sensible
• StickyNotesExtract.exe: recuperación de datos de notas adhesivas de Windows
• Tailscale VPN: creación de túneles cifrados y redes P2P encubiertas
• Microsoft Dev Tunnels: tunelización del tráfico malicioso
• Owawa: módulo IIS para robo de credenciales
• AufTime: puerta trasera Linux con comunicaciones cifradas vía wolfSSL
• COFFProxy: backdoor en Golang con funciones de túnel, gestión y ejecución remota
• VtChatter: canal C2 usando archivos en VirusTotal con comentarios en Base64
• OneDriveDoor: uso de OneDrive como servidor C2
• LocalPlugX: variante de PlugX para expansión lateral sin C2 externo
• CloudSorcerer: backdoor basada en servicios cloud
• YaLeak: herramienta para subir datos robados a Yandex Cloud

Estas herramientas permiten a APT31 permanecer oculto en redes comprometidas durante años, manteniendo persistencia mediante tareas programadas que imitan aplicaciones legítimas como Google Chrome o Yandex Disk.

Exfiltración y robo de información sensible

Según Positive Technologies, APT31 logró descargar grandes volúmenes de información confidencial, incluyendo:

• Contraseñas de correos corporativos
• Credenciales de servicios internos
• Documentos técnicos y estratégicos
• Información de infraestructura crítica

El uso de Yandex Cloud como canal de exfiltración facilitó que los datos robados pasaran desapercibidos al mezclarse con tráfico legítimo empresarial.

Impacto en la seguridad del ecosistema tecnológico

Este caso expone un problema crítico: los grupos APT ya no dependen exclusivamente de malware sofisticado, sino de:

• Infraestructuras cloud legítimas
• Herramientas públicas
• Técnicas de "living off the land"
• Ingeniería social muy dirigida

Para las empresas de TI y proveedores gubernamentales, esto implica una necesidad urgente de:

• Implementar detección de comportamiento anómalo (UEBA)
• Monitorizar el uso de servicios en la nube
• Revisar tareas programadas y persistencia sospechosa
• Reforzar políticas de protección contra spear-phishing
• Usar EDR con capacidades de análisis avanzado de memoria

En fin...

Las campañas de APT31 contra empresas tecnológicas rusas representan un ejemplo claro del nuevo paradigma de ciberespionaje moderno, basado en infiltraciones silenciosas, herramientas híbridas y abuso de infraestructuras legítimas.

Este caso demuestra que la defensa ya no puede basarse solo en firmas de malware, sino en análisis de comportamiento, monitoreo continuo e inteligencia de amenazas avanzada.

Las organizaciones que operan en sectores estratégicos deben asumir que son objetivos potenciales y actuar en consecuencia, fortaleciendo su postura de seguridad cibernética antes de convertirse en la próxima víctima invisible.

https://thehackernews.com/