El grupo Amenaza Persistente Avanzada (APT) vinculado a China llamó APT31 se atribuyó a ataques cibernéticos dirigidos al sector de tecnología de la información (TI) de Rusia entre 2024 y 2025 y permanecieron sin ser detectados durante períodos prolongados.
“En el período de 2024 a 2025, el sector informático ruso, especialmente las empresas que operan como contratistas e integradores de soluciones para agencias gubernamentales, fue objeto de una serie de ataques informáticos dirigidos”, dijeron en un informe técnico los investigadores de Positive Technologies Daniil Grigoryan y Varvara Koloskova.
Se cree que APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (anteriormente Zirconium), ha estado activo desde al menos 2010. Tiene un historial de éxito en ataques en una amplia gama de sectores, incluidos gobierno, finanzas, aeroespacial y defensa, alta tecnología, construcción e ingeniería, telecomunicaciones, medios y seguros.
El grupo de ciberespionaje se centra principalmente en recopilar información que pueda proporcionar ventajas políticas, económicas y militares a Beijing y a las empresas estatales. En mayo de 2025, la República Checa acusó al grupo de hackers de atacar a su Ministerio de Asuntos Exteriores.
Los ataques dirigidos a Rusia se caracterizan por el uso de servicios legítimos en la nube, especialmente aquellos ampliamente utilizados en el país, como Yandex Cloud, para comando y control (C2) y exfiltración de datos para interferir con el tráfico normal de datos y escapar de la detección.
También se dice que el atacante insertó comandos cifrados y cargas útiles en perfiles de redes sociales nacionales y extranjeros y que también llevó a cabo sus ataques los fines de semana y días festivos. En al menos un ataque a una empresa de TI, APT31 penetró en su red ya a finales de 2022, antes de que la actividad aumentara hasta coincidir con las vacaciones de Año Nuevo de 2023.
En otra infracción descubierta en diciembre de 2024, los actores de amenazas enviaron un correo electrónico de phishing que contenía un archivo RAR, que a su vez contenía un acceso directo de Windows (LNK) responsable de iniciar un cargador Cobalt Strike llamado CloudyLoader a través de la descarga de DLL. Kaspersky documentó los detalles de esta actividad ya en julio de 2025, observando cierta superposición con un grupo de amenazas llamado EastWind.
La compañía rusa de ciberseguridad también dijo que identificó un señuelo de archivo ZIP que se hacía pasar por un informe del Ministerio de Relaciones Exteriores de Perú para eventualmente implementar CloudyLoader.
Para facilitar las fases posteriores del ciclo de ataque, APT31 aprovechó un amplio conjunto de herramientas personalizadas y disponibles públicamente. La persistencia se logra configurando tareas programadas que imitan aplicaciones legítimas como Yandex Disk y Google Chrome. Algunos de ellos se enumeran a continuación:
- SharpADUserIP, una utilidad de reconocimiento y descubrimiento de C#
- SharpChrome.exe para extraer contraseñas y cookies de los navegadores Google Chrome y Microsoft Edge
- SharpDir para buscar archivos
- StickyNotesExtract.exe para extraer datos de la base de datos de Windows Sticky Notes
- Tailscale VPN para crear un túnel cifrado y establecer una red peer-to-peer (P2P) entre el host comprometido y su infraestructura.
- Tráfico de túnel a túnel para desarrolladores de Microsoft
- Owawa, un módulo IIS malicioso diseñado para robar credenciales
- AufTime, un backdoor Linux que utiliza la biblioteca wolfSSL para comunicarse con C2
- COFFProxy, una puerta trasera de Golang que admite comandos para canalizar el tráfico, ejecutar comandos, administrar archivos y servir cargas útiles adicionales.
- VtChatter, una herramienta que utiliza comentarios codificados en Base64 cada dos horas en un archivo de texto alojado en VirusTotal como canal C2 bidireccional
- OneDriveDoor, un backdoor que utiliza Microsoft OneDrive como C2
- LocalPlugX, una variante de PlugX utilizada para distribución dentro de la red local y no para comunicación con C2
- CloudSorcerer, un backdoor que aprovechaba los servicios en la nube como C2
- YaLeak, una herramienta .NET para subir información a Yandex Cloud
“APT31 repone constantemente su arsenal, aunque continúa utilizando algunas de sus herramientas heredadas”, dijo Positive Technologies. “Como C2, los atacantes utilizan activamente los servicios en la nube, especialmente los servicios de Yandex y Microsoft OneDrive. Muchas herramientas también están configuradas para funcionar en modo servidor y esperar a que los atacantes se conecten a un host infectado”.
“Además, el grupo extrajo datos a través del almacenamiento en la nube de Yandex. Estas herramientas y técnicas permitieron que APT31 permaneciera sin ser detectado en la infraestructura de las víctimas durante años. Al mismo tiempo, los atacantes descargaron archivos y recopilaron información confidencial de los dispositivos, incluidas contraseñas de los buzones de correo de las víctimas y de los servicios internos”.
About The Author
