(https://i.imgur.com/WBtIOTH.jpeg)
El grupo de amenazas persistentes avanzadas (APT) ToddyCat ha incorporado una nueva herramienta a su arsenal de ciberespionaje. Se trata de Umbrij, un sofisticado malware diseñado para obtener acceso encubierto a cuentas corporativas de Gmail mediante el abuso de la API de Google, el protocolo OAuth 2.0 y sesiones activas de navegadores basados en Chromium.
La campaña, revelada por investigadores de Kaspersky, pone de manifiesto una preocupante evolución en las tácticas empleadas por los actores de amenazas avanzadas. En lugar de robar credenciales o recurrir a técnicas tradicionales de phishing, Umbrij aprovecha sesiones autenticadas y tokens OAuth legítimos para acceder a correos electrónicos corporativos sin despertar sospechas.
Los expertos consideran que este método representa un cambio significativo en las técnicas de compromiso de cuentas en la nube, ya que explota mecanismos de autorización legítimos utilizados por millones de organizaciones en todo el mundo.
¿Qué es Umbrij y cuál es su objetivo?Umbrij es una herramienta de postexplotación desarrollada específicamente para obtener acceso persistente a cuentas de Gmail pertenecientes a organizaciones.
Su objetivo principal consiste en adquirir un token OAuth válido, el cual posteriormente permite a los atacantes acceder directamente a los recursos de la cuenta utilizando la API de Google, sin necesidad de volver a introducir credenciales o contraseñas.
Según Kaspersky, el malware automatiza prácticamente todo el proceso de obtención del token, facilitando campañas de espionaje a gran escala contra empresas y organismos gubernamentales.
La técnica empleada por Umbrij ha sido bautizada como Shadow Token via Remote Debugging (STRD), un método que aprovecha la funcionalidad de depuración remota de los navegadores Chromium para secuestrar sesiones ya autenticadas.
¿Cómo funciona el ataque de Umbrij?El ataque comienza una vez que el equipo Windows de la víctima ya ha sido comprometido.
A partir de ese momento, Umbrij ejecuta una serie de acciones cuidadosamente diseñadas para aprovechar la sesión activa del navegador.
En términos generales, el proceso sigue las siguientes etapas:
1. Obtención del contexto del usuarioEl malware identifica el proceso explorer.exe y duplica el token de seguridad del usuario actualmente conectado al sistema.
Con ello conserva todos los privilegios necesarios para operar exactamente bajo el contexto de la víctima.
También admite especificar manualmente el usuario objetivo mediante parámetros de línea de comandos.
2. Identificación de perfiles del navegadorPosteriormente analiza los perfiles almacenados tanto en Google Chrome como en Microsoft Edge.
Durante este proceso busca el campo user_name, cuya presencia indica que existe una sesión autenticada con una cuenta de Google.
Este paso resulta esencial para determinar qué perfiles pueden ser utilizados durante el ataque.
3. Copia completa del perfil del navegadorUmbrij crea un directorio denominado BackupFiles dentro de las carpetas locales de Chrome y Edge.
Después copia numerosos archivos relacionados con la sesión del navegador, incluyendo:
- Cookies activas.
- Bases de datos IndexedDB.
- Almacenamiento local.
- Datos de inicio de sesión.
- Preferencias del navegador.
- Configuración segura.
- Datos web.
Incluso incorpora mecanismos de copia forzada para acceder a archivos bloqueados por otros procesos.
4. Ejecución del navegador en modo headlessUna vez copiado el perfil, Umbrij inicia Chrome o Edge en modo headless, es decir, sin interfaz gráfica.
Gracias al perfil previamente duplicado, el navegador conserva todas las cookies válidas y mantiene iniciada la sesión de Gmail sin requerir autenticación adicional.
Este detalle convierte el ataque en especialmente peligroso.
Abuso de OAuth mediante la API de GoogleEl siguiente paso del ataque consiste en aprovechar la infraestructura legítima de Google.
Utilizando Puppeteer, una conocida biblioteca de automatización basada en Chromium, Umbrij establece conexión con el puerto de depuración remoto del navegador.
Desde allí envía una solicitud OAuth hacia:
accounts.google.com/o/oauth2/v2/auth/identifierLa solicitud utiliza un client_id perteneciente a una herramienta legítima denominada Google Workspace Migration for Microsoft Outlook, diseñada originalmente para migrar buzones PST y cuentas de Microsoft Exchange hacia Google Workspace.
A continuación, el malware automatiza completamente la interacción del usuario.
Mediante eventos simulados de ratón concede permisos a la aplicación para acceder a:
- Gmail.
- Google Drive.
- Contactos.
- Calendario.
- Google Tasks.
Finalmente obtiene el código de autorización OAuth, que posteriormente será intercambiado por un token de acceso válido.
Con dicho token, los atacantes pueden consultar directamente la cuenta comprometida mediante la API oficial de Google.
Tres versiones diferentes de UmbrijDurante su investigación, Kaspersky identificó tres variantes distintas del malware.
Cada versión incorpora funciones específicas, entre ellas:
- Herramientas auxiliares para depuración.
- Selección automática de perfiles del navegador.
- Captura de perfiles de usuario.
- Exportación de información en formato PDF.
- Compatibilidad tanto con Google Chrome como Microsoft Edge.
Todo ello convierte a Umbrij en una herramienta altamente automatizada y preparada para operar en múltiples escenarios corporativos.
ToddyCat continúa evolucionando sus campañas de espionajeToddyCat es un conocido grupo APT activo al menos desde 2020.
Durante los últimos años ha centrado sus operaciones principalmente contra organizaciones ubicadas en Europa y Asia.
El grupo mantiene un fuerte interés por comprometer sistemas de correo electrónico corporativo.
En noviembre de 2025, Kaspersky documentó otra herramienta desarrollada por ToddyCat denominada TCSectorCopy, utilizada para acceder a archivos PST de Microsoft Outlook pertenecientes a empresas objetivo.
La aparición de Umbrij demuestra que el grupo continúa invirtiendo en nuevas capacidades dirigidas específicamente al espionaje de plataformas de correo empresarial basadas en la nube.
Distribución mediante DLL Side-LoadingUno de los aspectos más interesantes descubiertos durante la investigación es el método empleado para ejecutar Umbrij.
Los investigadores detectaron una tarea programada que simulaba pertenecer al software de seguridad de Kaspersky mediante el nombre:
KasperskyEndpointSecurityEDRAvpEsta tarea iniciaba un ejecutable firmado digitalmente que posteriormente abusaba de la técnica conocida como DLL Side-Loading para cargar la DLL maliciosa de Umbrij.
Entre los binarios legítimos utilizados destacan:
- BDSubWiz.exe, perteneciente a Bitdefender ConnectAgent.
- VSTestVideoRecorder.exe, incluido en Microsoft Visual Studio.
- GoogleDesktop.exe, una antigua aplicación de Google Desktop Search ya descontinuada.
Independientemente del binario empleado, todos terminaban cargando la misma DLL maliciosa desarrollada en .NET y protegida mediante el ofuscador ConfuserEx.
Registro detallado de todas las accionesComo ocurre con otras herramientas del arsenal de ToddyCat, Umbrij registra minuciosamente todas sus operaciones.
El malware almacena en archivos de registro información como:
- Estado de ejecución.
- Perfiles analizados.
- Navegadores utilizados.
- Códigos OAuth obtenidos.
- Errores encontrados durante el proceso.
Posteriormente, estos registros son exfiltrados por los operadores junto con el código de autorización necesario para generar el token OAuth definitivo.
Cómo detectar un posible compromisoKaspersky recomienda revisar periódicamente las aplicaciones autorizadas dentro de la cuenta de Google Workspace.
Para ello basta acceder a:
myaccount.google.com/connectionsLos administradores deben comprobar especialmente si aparecen aplicaciones como:
- Google Workspace Migration for Microsoft Outlook.
- Google Workspace Sync for Microsoft Outlook.
Si dichas aplicaciones no forman parte del entorno corporativo, conviene revocar inmediatamente su acceso para invalidar los tokens OAuth asociados.
Asimismo, resulta recomendable:
- Supervisar las autorizaciones OAuth concedidas por los usuarios.
- Aplicar autenticación multifactor (MFA) resistente al phishing.
- Monitorizar conexiones realizadas mediante la API de Gmail.
- Restringir el uso del puerto de depuración remota en navegadores cuando no sea necesario.
- Implementar soluciones EDR capaces de detectar técnicas de DLL Side-Loading y ejecución en modo headless.
- Mantener actualizados los navegadores y los sistemas operativos para reducir la superficie de ataque.
Una nueva amenaza para la seguridad del correo corporativoLa aparición de Umbrij confirma que los grupos APT están evolucionando hacia métodos de ataque más sofisticados, centrándose en el abuso de mecanismos legítimos de autenticación en lugar de depender únicamente del robo de credenciales.
Al aprovechar sesiones activas de Gmail, la API oficial de Google y tokens OAuth válidos, ToddyCat consigue acceder a comunicaciones corporativas de forma silenciosa y con un bajo nivel de detección, dificultando el trabajo de los equipos de seguridad.
La investigación de Kaspersky pone de relieve la necesidad de reforzar la supervisión de los permisos OAuth, controlar las aplicaciones autorizadas dentro de Google Workspace y desplegar soluciones avanzadas de detección capaces de identificar comportamientos anómalos en navegadores y endpoints. A medida que las campañas de ciberespionaje continúan sofisticándose, la protección de las identidades digitales y de las plataformas de correo electrónico se consolida como una de las principales prioridades para cualquier organización.
Fuente: https://thehackernews.com/