Imagen Principal

El grupo de amenazas conocido como Dragon Breath, también rastreado como APT-Q-27 y Golden Eye, ha sido detectado utilizando un cargador de múltiples etapas llamado RONINGLOADER para entregar una variante modificada del troyano de acceso remoto Gh0st RAT. Esta campaña se dirige principalmente a usuarios de habla china y utiliza instaladores NSIS troyanizados que se hacen pasar por software legítimo como Google Chrome y Microsoft Teams.

Según investigadores de Elastic Security Labs, la cadena de infección emplea un mecanismo de entrega de múltiples etapas que incorpora técnicas de evasión avanzadas. Estas técnicas están diseñadas específicamente para neutralizar productos de seguridad endpoint populares en el mercado chino.

RONINGLOADER: Un Cargador Multifase de Alta Evasión

La cadena de infección comienza con instaladores NSIS maliciosos para aplicaciones de confianza. Estos actúan como un punto de partida para dos instaladores NSIS incrustados: uno benigno (letsvpnlatest.exe) que instala el software legítimo, y otro malicioso (Snieoatwtregoable.exe) que desencadena la cadena de ataque real.

El ataque se distingue por sus sofisticadas tácticas de evasión de defensas:

  • Manipulación de Procesos y Evasión de Hooks: RONINGLOADER intenta eliminar cualquier hook en el espacio de usuario cargando una nueva instancia de ntdll.dll.
  • Elevación de Privilegios y Escaneo de AV: Utiliza el comando runas para escalar privilegios y escanea una lista codificada de soluciones antivirus populares en China, incluyendo Microsoft Defender, Kingsoft Internet Security, Tencent PC Manager y Qihoo 360 Total Security.

Ataque Específico Contra Qihoo 360 Total Security

En caso de detectar Qihoo 360 Total Security, RONINGLOADER ejecuta una secuencia de acciones particularmente complejas para evadir y deshabilitar el software de seguridad:

  1. Bloquea todas las comunicaciones de red modificando el firewall.
  2. Obtiene el token SeDebugPrivilege para inyectar shellcode en el proceso vssvc.exe, asociado al servicio Volume Shadow Copy (VSS).
  3. Utiliza una técnica conocida como PoolParty para inyectar shellcode en el proceso del servicio VSS.
  4. Carga y utiliza un controlador firmado llamado ollama.sys mediante un servicio temporal (xererre1) para terminar los procesos asociados a Qihoo 360.
  5. Restaura la configuración del firewall.

Para otros procesos de seguridad, el cargador utiliza una aproximación similar, cargando ollama.sys mediante un servicio temporal llamado ollama para la terminación de procesos.

Bypasses Adicionales y Desactivación de Defensas Avanzadas

Una vez que los procesos de seguridad son eliminados, RONINGLOADER realiza acciones adicionales para asegurar su persistencia y evitar la detección:

  • Bypass de UAC y Reglas de Firewall: Ejecuta scripts batch para eludir el Control de Cuentas de Usuario (UAC) y crea reglas de firewall para bloquear conexiones entrantes y salientes de Qihoo 360.
  • Evasión de Microsoft Defender: Se han observado dos técnicas documentadas anteriormente por el investigador Zero Salarium que abusan de PPL (Protected Process Light) y del sistema Windows Error Reporting (WerFaultSecure.exe), también conocido como EDR-Freeze, para deshabilitar Microsoft Defender Antivirus.
  • Manipulación de WDAC: Dirige el Control de Aplicaciones de Windows Defender (WDAC) escribiendo una política maliciosa que bloquea explícitamente a proveedores de seguridad chinos como Qihoo 360 Total Security y Huorong Security.

Despliegue de Gh0st RAT y Campañas de Suplantación de Marca

El objetivo final de RONINGLOADER es inyectar una DLL maliciosa en regsvr32.exe, un binario legítimo de Windows, para ocultar su actividad. Posteriormente, lanza el payload de Gh0st RAT en un proceso de sistema legítimo de alto privilegio, como TrustedInstaller.exe o elevation_service.exe.

El troyano Gh0st RAT permite a los atacantes:

  • Configurar claves del Registro de Windows.
  • Limpiar registros de eventos de Windows.
  • Descargar y ejecutar archivos de URLs remotas.
  • Alterar datos del portapapeles.
  • Ejecutar comandos a través de cmd.exe.
  • Capturar pulsaciones de teclas, contenido del portapapeles y títulos de ventanas activas.

Campañas de Suplantación Masiva de Marca (Palo Alto Networks Unit 42)

Paralelamente a la campaña de Dragon Breath, Palo Alto Networks Unit 42 identificó dos campañas interconectadas que utilizan suplantación de marca a gran escala para entregar Gh0st RAT a usuarios de habla china. Aunque no se han atribuido a un actor de amenazas conocido, comparten similitudes en el objetivo y el malware final.

  • Campaña Trio (Febrero-Marzo 2025): Suplantó marcas como i4tools, Youdao y DeepSeek, utilizando más de 2.000 dominios y droppers más simples.
  • Campaña Chorus (Mayo 2025): Más sofisticada, suplantó más de 40 aplicaciones, incluyendo QQ Music y Sogou browser. Utilizó cadenas de infección complejas y dominios de redirección intermediarios para evadir filtros de red y entregar archivos ZIP desde servicios de nube pública.

Conclusión

Ambas campañas demuestran una tendencia hacia ataques cada vez más sofisticados y adaptados a las defensas locales. La superposición en el uso de Gh0st RAT y la orientación a usuarios chinos sugiere un panorama de amenazas complejo, donde los actores de amenazas (como Dragon Breath) están probando continuamente tácticas y técnicas (TTPs) para maximizar la efectividad y resiliencia de sus operaciones, aprovechando tanto infraestructuras antiguas como nuevas.

Referencias

  • Malware: Gh0st RAT, RONINGLOADER, ollama.sys
  • Técnicas de Evasión: PoolParty, EDR-Freeze (abuso de PPL y WerFaultSecure.exe), Doble-dip DLL side-loading.
  • Grupos de Amenazas: Dragon Breath (APT-Q-27, Golden Eye), Miuuti Group.
  • Defensas Específicas Evadidas: Qihoo 360 Total Security, Huorong Security, Microsoft Defender, Kingsoft Internet Security, Tencent PC Manager.
  • Investigadores/Empresas: Elastic Security Labs, Palo Alto Networks Unit 42.