El grupo de amenazas conocido como Jewelbug, también rastreado por Check Point Research como Ink Dragon, ha intensificado sus ataques contra objetivos gubernamentales en Europa desde julio de 2025. Aunque el actor, alineado con China y activo desde al menos marzo de 2023, continúa atacando entidades en el sudeste asiático y Sudamérica, su enfoque se ha ampliado significativamente.
Check Point Research ha detallado las operaciones de este grupo de hacking, destacando su combinación de ingeniería de software sólida, playbooks operacionales disciplinados y la reutilización de herramientas nativas de la plataforma para camuflarse en la telemetría normal de la empresa. Estas tácticas hacen que sus intrusiones sean “efectivas y sigilosas”.
Según Eli Smadja de Check Point Software, la campaña sigue activa y ha afectado a varias docenas de víctimas, incluyendo entidades gubernamentales y organizaciones de telecomunicaciones en Europa, Asia y África.
Tácticas de Intrusión y Arsenal de Malware
Las cadenas de ataque de Ink Dragon han evolucionado para aprovechar servicios vulnerables en aplicaciones web expuestas a Internet. A través de la explotación de vulnerabilidades, el grupo logra instalar web shells, que son utilizados para desplegar cargas útiles adicionales como balizas VARGEIT y Cobalt Strike. Estas herramientas facilitan el comando y control (C2), el movimiento lateral, la evasión de defensas y la exfiltración de datos.
Entre el arsenal de malware del actor de amenazas se encuentran:
- FINALDRAFT (Squidoor): Un backdoor capaz de infectar sistemas Windows y Linux. Una variante reciente utiliza la API de Microsoft Graph y Outlook para C2, con un marco de comandos modular que permite a los operadores enviar comandos codificados a la bandeja de entrada de la víctima para su ejecución.
- NANOREMOTE: Otro backdoor que utiliza la API de Google Drive para la transferencia de archivos entre el servidor C2 y el endpoint comprometido. Check Point notó que no lo encontraron en sus investigaciones específicas, sugiriendo un despliegue selectivo de herramientas basado en el entorno de la víctima.
Creación de Infraestructura C2 a partir de Víctimas
Una de las técnicas más notables de Ink Dragon es el uso de un módulo de escucha personalizado ShadowPad IIS Listener. El actor explota valores de clave de máquina ASP.NET predecibles o mal gestionados para llevar a cabo ataques de deserialización de ViewState contra servidores IIS y SharePoint vulnerables.
Una vez comprometidos, estos servidores se transforman en parte de la infraestructura C2 del atacante. El módulo de escucha permite enrutar tráfico no solo dentro de la red de una organización, sino también a través de diferentes redes de víctimas. Esto crea una red de retransmisión global, donde un compromiso silencioso se convierte en un nodo de una infraestructura de soporte para campañas en otros lugares.
Escalada de Privilegios y Persistencia
El grupo de amenazas también utiliza diversas técnicas para escalar privilegios y mantener la persistencia:
- Movimiento Lateral: Uso de la clave de máquina IIS para obtener credenciales administrativas locales y aprovecharlas para el movimiento lateral a través de un túnel RDP.
- Persistencia: Creación de tareas programadas e instalación de servicios.
- Escalada de Privilegios: Extracción de volcados de LSASS y hives de registro para escalar privilegios. En un caso, el actor extrajo el token de un administrador de dominio de una sesión RDP inactiva para realizar operaciones SMB autenticadas y exfiltrar NTDS.dit y hives de registro, logrando el control de todo el dominio.
- Evasión de Defensas: Modificación de reglas de firewall de host para permitir el tráfico saliente y transformar los hosts infectados en una red de retransmisión ShadowPad.
Conclusiones
Las intrusiones de Ink Dragon se basan en una serie de componentes, en lugar de un único backdoor, para establecer una persistencia a largo plazo. La arquitectura de retransmisión centrada en el compromiso de las víctimas es un “plano para el acceso a largo plazo y multiorganizacional construido sobre las propias víctimas”.
Check Point Research concluye que el modelo de amenaza de Ink Dragon elimina el límite entre “host comprometido” e “infraestructura de comando”. Los defensores deben ver las intrusiones no solo como brechas locales, sino como posibles eslabones en un ecosistema externo gestionado por el atacante, donde desmantelar un solo nodo es insuficiente si no se identifica toda la cadena de retransmisión.
Referencias
- Check Point Research: Informe técnico sobre Jewelbug (Ink Dragon)
- Elastic Security Labs y Palo Alto Networks Unit 42: Investigaciones previas sobre el actor y el malware FINALDRAFT.