Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 02, 2026, 09:21:47 PM

Título: Umbrij: el nuevo malware de ToddyCat roba cuentas de Gmail mediante OAuth
Publicado por: Dragora en Julio 02, 2026, 09:21:47 PM
(https://i.imgur.com/WBtIOTH.jpeg)

El grupo de amenazas persistentes avanzadas (APT) ToddyCat ha incorporado una nueva herramienta a su arsenal de ciberespionaje. Se trata de Umbrij, un sofisticado malware diseñado para obtener acceso encubierto a cuentas corporativas de Gmail mediante el abuso de la API de Google, el protocolo OAuth 2.0 y sesiones activas de navegadores basados en Chromium.

La campaña, revelada por investigadores de Kaspersky, pone de manifiesto una preocupante evolución en las tácticas empleadas por los actores de amenazas avanzadas. En lugar de robar credenciales o recurrir a técnicas tradicionales de phishing, Umbrij aprovecha sesiones autenticadas y tokens OAuth legítimos para acceder a correos electrónicos corporativos sin despertar sospechas.

Los expertos consideran que este método representa un cambio significativo en las técnicas de compromiso de cuentas en la nube, ya que explota mecanismos de autorización legítimos utilizados por millones de organizaciones en todo el mundo.

¿Qué es Umbrij y cuál es su objetivo?

Umbrij es una herramienta de postexplotación desarrollada específicamente para obtener acceso persistente a cuentas de Gmail pertenecientes a organizaciones.

Su objetivo principal consiste en adquirir un token OAuth válido, el cual posteriormente permite a los atacantes acceder directamente a los recursos de la cuenta utilizando la API de Google, sin necesidad de volver a introducir credenciales o contraseñas.

Según Kaspersky, el malware automatiza prácticamente todo el proceso de obtención del token, facilitando campañas de espionaje a gran escala contra empresas y organismos gubernamentales.

La técnica empleada por Umbrij ha sido bautizada como Shadow Token via Remote Debugging (STRD), un método que aprovecha la funcionalidad de depuración remota de los navegadores Chromium para secuestrar sesiones ya autenticadas.

¿Cómo funciona el ataque de Umbrij?

El ataque comienza una vez que el equipo Windows de la víctima ya ha sido comprometido.

A partir de ese momento, Umbrij ejecuta una serie de acciones cuidadosamente diseñadas para aprovechar la sesión activa del navegador.

En términos generales, el proceso sigue las siguientes etapas:

1. Obtención del contexto del usuario

El malware identifica el proceso explorer.exe y duplica el token de seguridad del usuario actualmente conectado al sistema.

Con ello conserva todos los privilegios necesarios para operar exactamente bajo el contexto de la víctima.

También admite especificar manualmente el usuario objetivo mediante parámetros de línea de comandos.

2. Identificación de perfiles del navegador

Posteriormente analiza los perfiles almacenados tanto en Google Chrome como en Microsoft Edge.

Durante este proceso busca el campo user_name, cuya presencia indica que existe una sesión autenticada con una cuenta de Google.

Este paso resulta esencial para determinar qué perfiles pueden ser utilizados durante el ataque.

3. Copia completa del perfil del navegador

Umbrij crea un directorio denominado BackupFiles dentro de las carpetas locales de Chrome y Edge.

Después copia numerosos archivos relacionados con la sesión del navegador, incluyendo:


Incluso incorpora mecanismos de copia forzada para acceder a archivos bloqueados por otros procesos.

4. Ejecución del navegador en modo headless

Una vez copiado el perfil, Umbrij inicia Chrome o Edge en modo headless, es decir, sin interfaz gráfica.

Gracias al perfil previamente duplicado, el navegador conserva todas las cookies válidas y mantiene iniciada la sesión de Gmail sin requerir autenticación adicional.

Este detalle convierte el ataque en especialmente peligroso.

Abuso de OAuth mediante la API de Google

El siguiente paso del ataque consiste en aprovechar la infraestructura legítima de Google.

Utilizando Puppeteer, una conocida biblioteca de automatización basada en Chromium, Umbrij establece conexión con el puerto de depuración remoto del navegador.

Desde allí envía una solicitud OAuth hacia:

accounts.google.com/o/oauth2/v2/auth/identifier

La solicitud utiliza un client_id perteneciente a una herramienta legítima denominada Google Workspace Migration for Microsoft Outlook, diseñada originalmente para migrar buzones PST y cuentas de Microsoft Exchange hacia Google Workspace.

A continuación, el malware automatiza completamente la interacción del usuario.

Mediante eventos simulados de ratón concede permisos a la aplicación para acceder a:


Finalmente obtiene el código de autorización OAuth, que posteriormente será intercambiado por un token de acceso válido.

Con dicho token, los atacantes pueden consultar directamente la cuenta comprometida mediante la API oficial de Google.

Tres versiones diferentes de Umbrij

Durante su investigación, Kaspersky identificó tres variantes distintas del malware.

Cada versión incorpora funciones específicas, entre ellas:


Todo ello convierte a Umbrij en una herramienta altamente automatizada y preparada para operar en múltiples escenarios corporativos.

ToddyCat continúa evolucionando sus campañas de espionaje

ToddyCat es un conocido grupo APT activo al menos desde 2020.

Durante los últimos años ha centrado sus operaciones principalmente contra organizaciones ubicadas en Europa y Asia.

El grupo mantiene un fuerte interés por comprometer sistemas de correo electrónico corporativo.

En noviembre de 2025, Kaspersky documentó otra herramienta desarrollada por ToddyCat denominada TCSectorCopy, utilizada para acceder a archivos PST de Microsoft Outlook pertenecientes a empresas objetivo.

La aparición de Umbrij demuestra que el grupo continúa invirtiendo en nuevas capacidades dirigidas específicamente al espionaje de plataformas de correo empresarial basadas en la nube.

Distribución mediante DLL Side-Loading

Uno de los aspectos más interesantes descubiertos durante la investigación es el método empleado para ejecutar Umbrij.

Los investigadores detectaron una tarea programada que simulaba pertenecer al software de seguridad de Kaspersky mediante el nombre:

KasperskyEndpointSecurityEDRAvp

Esta tarea iniciaba un ejecutable firmado digitalmente que posteriormente abusaba de la técnica conocida como DLL Side-Loading para cargar la DLL maliciosa de Umbrij.

Entre los binarios legítimos utilizados destacan:


Independientemente del binario empleado, todos terminaban cargando la misma DLL maliciosa desarrollada en .NET y protegida mediante el ofuscador ConfuserEx.

Registro detallado de todas las acciones

Como ocurre con otras herramientas del arsenal de ToddyCat, Umbrij registra minuciosamente todas sus operaciones.

El malware almacena en archivos de registro información como:


Posteriormente, estos registros son exfiltrados por los operadores junto con el código de autorización necesario para generar el token OAuth definitivo.

Cómo detectar un posible compromiso

Kaspersky recomienda revisar periódicamente las aplicaciones autorizadas dentro de la cuenta de Google Workspace.

Para ello basta acceder a:

myaccount.google.com/connections

Los administradores deben comprobar especialmente si aparecen aplicaciones como:


Si dichas aplicaciones no forman parte del entorno corporativo, conviene revocar inmediatamente su acceso para invalidar los tokens OAuth asociados.

Asimismo, resulta recomendable:


Una nueva amenaza para la seguridad del correo corporativo

La aparición de Umbrij confirma que los grupos APT están evolucionando hacia métodos de ataque más sofisticados, centrándose en el abuso de mecanismos legítimos de autenticación en lugar de depender únicamente del robo de credenciales.

Al aprovechar sesiones activas de Gmail, la API oficial de Google y tokens OAuth válidos, ToddyCat consigue acceder a comunicaciones corporativas de forma silenciosa y con un bajo nivel de detección, dificultando el trabajo de los equipos de seguridad.

La investigación de Kaspersky pone de relieve la necesidad de reforzar la supervisión de los permisos OAuth, controlar las aplicaciones autorizadas dentro de Google Workspace y desplegar soluciones avanzadas de detección capaces de identificar comportamientos anómalos en navegadores y endpoints. A medida que las campañas de ciberespionaje continúan sofisticándose, la protección de las identidades digitales y de las plataformas de correo electrónico se consolida como una de las principales prioridades para cualquier organización.

Fuente: https://thehackernews.com/