Imagen Principal

El panorama de ciberamenazas dirigido a usuarios de habla china se ha intensificado con la detección de múltiples campañas de malware. Dos informes recientes destacan la sofisticación de los actores de amenazas que utilizan el troyano de acceso remoto Gh0st RAT, un malware conocido por su versatilidad.

Una de las campañas involucra al actor de amenazas conocido como Dragon Breath (también APT-Q-27 o Golden Eye), que utiliza un cargador multifase llamado RONINGLOADER para entregar una variante modificada de Gh0st RAT. Simultáneamente, otra serie de campañas de suplantación de identidad digital a gran escala ha estado distribuyendo el mismo malware.

RONINGLOADER: Evasión Compleja de Dragon Breath

El actor Dragon Breath, activo desde al menos 2020 y vinculado al grupo Miuuti, se enfoca principalmente en la industria del juego y las apuestas en línea. En su campaña más reciente, utiliza instaladores NSIS troyanizados que se hacen pasar por software legítimo como Google Chrome y Microsoft Teams.

La cadena de infección de RONINGLOADER se caracteriza por su enfoque multifase y técnicas de evasión avanzadas, diseñadas para neutralizar productos de seguridad populares en el mercado chino:

  • Instaladores NSIS Dobles: El instalador malicioso inicial contiene dos instaladores NSIS incrustados: uno benigno para instalar el software legítimo y otro responsable de la cadena de ataque sigilosa.
  • Ataque a Defensas de Punto Final: RONINGLOADER está programado para escanear y terminar procesos asociados con soluciones de seguridad como Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager y Qihoo 360 Total Security.
  • Abuso de PPL (Protected Process Light): La técnica más notable es el abuso de PPL y el sistema Windows Error Reporting (WerFaultSecure.exe) para deshabilitar Microsoft Defender Antivirus. También implementa políticas WDAC (Windows Defender Application Control) maliciosas que bloquean explícitamente a proveedores de seguridad chinos.

Secuencia de Ataque contra Qihoo 360 Total Security

Para los productos de seguridad de Qihoo 360, el proceso de evasión es particularmente elaborado:

  1. Bloqueo de red: Modifica el firewall para bloquear todas las comunicaciones de red.
  2. Abuso de VSS (Volume Shadow Copy): Obtiene el token SeDebugPrivilege e inyecta shellcode en el proceso vssvc.exe (servicio VSS) utilizando la técnica PoolParty.
  3. Terminación de Procesos con Driver Firmado: Carga y utiliza un controlador firmado legítimo llamado ollama.sys (mediante un servicio temporal xererre1) para terminar los procesos de Qihoo 360.
  4. Restauración de Firewall: Restaura la configuración del firewall para continuar con el ataque.

Para otros procesos de seguridad, el cargador utiliza un método similar con un servicio temporal llamado ollama para cargar el driver ollama.sys y terminar los procesos.

Payload Final: Gh0st RAT Modificado

Una vez que las defensas de seguridad son deshabilitadas, RONINGLOADER inyecta un DLL malicioso en regsvr32.exe para ocultar su actividad y lanza Gh0st RAT en un proceso del sistema de alto privilegio (como TrustedInstaller.exe o elevation_service.exe).

La variante Gh0st RAT desplegada incluye:

  • Configuración de claves de registro de Windows.
  • Limpieza de registros de eventos de Windows.
  • Descarga y ejecución de archivos.
  • Alteración de datos del portapapeles.
  • Ejecución de comandos a través de cmd.exe.
  • Inyección de shellcode en svchost.exe.
  • Módulo de captura de pulsaciones de teclado, contenido del portapapeles y títulos de ventanas activas.

Campañas de Suplantación de Identidad Digital

Palo Alto Networks Unit 42 identificó dos campañas interconectadas que también distribuyen Gh0st RAT a usuarios de habla china, aunque no se atribuyen a Dragon Breath.

  • Campaña Trio (Febrero-Marzo 2025): Utilizó más de 2,000 dominios para imitar software como i4tools, Youdao y DeepSeek.
  • Campaña Chorus (Mayo 2025): Más sofisticada, imitando más de 40 aplicaciones, incluyendo QQ Music y el navegador Sogou.

Ambas campañas evolucionaron desde “droppers” simples hasta complejas cadenas de infección multifase que abusan de software firmado legítimo para eludir las defensas modernas.

Mecanismos de Evasión de Campaña Chorus

La Campaña Chorus emplea técnicas avanzadas de evasión de red:

  • Redirección de dominios: Utiliza dominios de redirección intermediarios para obtener archivos ZIP maliciosos desde buckets de servicios en la nube públicos. Esta técnica permite eludir filtros de red que bloquean el tráfico de dominios desconocidos.
  • Instaladores MSI y Carga Lateral de DLL: Los instaladores MSI ejecutan un script de Visual Basic incrustado que descifra y lanza el payload final mediante la técnica de carga lateral de DLL.

Los investigadores señalan que la operación paralela de infraestructuras antiguas y nuevas sugiere una estrategia de A/B testing o el targeting de diferentes conjuntos de víctimas con niveles de complejidad variados.

Conclusiones

Las recientes campañas demuestran un aumento en la sofisticación de los actores de amenazas dirigidos a usuarios de habla china. La combinación de técnicas de evasión de punto final altamente personalizadas (como las implementadas por RONINGLOADER) y campañas de suplantación de identidad digital a gran escala resalta la persistencia de los ciberdelincuentes para eludir las soluciones de seguridad modernas y desplegar Gh0st RAT para el espionaje y control remoto de sistemas infectados.

Referencias

  • Palo Alto Networks Unit 42: Identificó las campañas de suplantación de identidad.
  • Elastic Security Labs: Documentó el análisis de RONINGLOADER de Dragon Breath.
  • Zero Salarium: Investigador que documentó las técnicas de abuso de PPL.
  • Sophos: Reportó previamente las actividades de Dragon Breath en 2023.