El actor de amenazas nombrado aliento de dragón Se observó que se utilizaba un cargador de varias etapas con nombre en código RONINGLOADER para distribuir una variante modificada de un troyano de acceso remoto llamado Gh0st RAT.
La campaña, que se dirige principalmente a usuarios de habla china, utiliza instaladores troyanizados de NSIS que se hacen pasar por legítimos, como Google Chrome y Microsoft Teams, según Elastic Security Labs.
“La cadena de infección utiliza un mecanismo de implementación de múltiples etapas que aprovecha varias técnicas de evasión, con muchas redundancias, destinadas a neutralizar productos de seguridad de terminales populares en el mercado chino”, dijeron los investigadores de seguridad Jia Yu Chan y Salim Bitam. “Estos incluyen inyectar un controlador firmado legítimamente, implementar políticas WDAC personalizadas y manipular el binario de Microsoft Defender mediante el abuso de Protected Process Light (PPL)”.
Dragon Breath, también conocido como APT-Q-27 y Golden Eye, fue destacado por Sophos en mayo de 2023 en relación con una campaña que utilizó una técnica llamada descarga lateral de DLL de doble inmersión en ataques contra usuarios en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China.
El grupo de hackers, que ha estado activo desde al menos 2020, está vinculado a una empresa más grande de habla china llamada Miuuti Group, conocida por sus ataques a las industrias de los juegos de azar y las apuestas en línea.
En la última campaña documentada por Elastic Security Labs, los instaladores NSIS maliciosos para aplicaciones confiables actúan como plataforma de lanzamiento para dos instaladores NSIS integrados adicionales, uno de los cuales (“letsvpnlatest.exe”) es benigno e instala software legítimo. El segundo binario NSIS (“Snieoatwtregoable.exe”) es responsable de desencadenar en secreto la cadena de ataque.
Esto implica entregar una DLL y un archivo cifrado (“tp.png”); el primero se usa para leer el contenido de la supuesta imagen PNG y extraer el código shell utilizado para iniciar otro binario en la memoria.
Además de intentar eliminar todos los ganchos del área de usuario cargando un nuevo “ntdll.dll”, RONINGLOADER intenta elevar sus privilegios usando el comando runas y escanea una lista de procesos en ejecución en busca de soluciones antivirus codificadas como Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager y Qihoo 360 Total Security.
Luego, el malware finaliza los procesos identificados. Si el proceso identificado está asociado con Qihoo 360 Total Security (por ejemplo, “360tray.exe”, “360Safe.exe” o “ZhuDongFangYu.exe”), se adopta un enfoque diferente. Este paso incluye la siguiente secuencia de acciones:
- Bloquee todas las comunicaciones de red cambiando el firewall
- Inserte el código de shell en el proceso (vssvc.exe) asociado con el servicio de instantáneas de volumen (VSS), no sin antes otorgarse el token SeDebugPrivilege.
- Inicie el servicio VSS y obtenga su ID de proceso
- Inyecte shellcode en el proceso del servicio VSS utilizando la técnica llamada PoolParty
- Cargue un controlador firmado llamado ollama.sys y utilícelo para finalizar los tres procesos utilizando un servicio temporal llamado xererre1.
- Restaurar la configuración del firewall
Para otros procesos de seguridad, el cargador escribe el controlador directamente en el disco y crea un servicio temporal llamado “ollama” para cargar el controlador, finalizar el proceso y detener y eliminar el servicio.
 |
| Flujo de ejecución de RONINGLOADER |
Una vez que se han finalizado todos los procesos de seguridad en el host infectado, RONINGLOADER ejecuta scripts por lotes para evitar el Control de cuentas de usuario (UAC) y crear reglas de firewall para bloquear las conexiones entrantes y salientes relacionadas con el software de seguridad Qihoo 360.
El malware también se observó utilizando dos técnicas documentadas por el investigador de seguridad Zero Salarium a principios de este año que abusan de PPL y del sistema de informe de errores de Windows (“WerFaultSecure.exe”) (también conocido como EDR-Freeze) para desactivar Microsoft Defender Antivirus. Además, apunta al control de aplicaciones de Windows Defender (WDAC) al escribir una política maliciosa que bloquea explícitamente a los proveedores de seguridad chinos Qihoo 360 Total Security y Huorong Security.
El objetivo final del cargador es inyectar una DLL maliciosa en regsvr32.exe, un binario legítimo de Windows, para ocultar su actividad y lanzar una carga útil de la siguiente etapa en otro proceso legítimo del sistema con privilegios elevados, como TrustedInstaller.exe o elevation_service.exe. El último malware implementado es una versión modificada de Gh0st RAT.
El troyano está diseñado para comunicarse con un servidor remoto para obtener instrucciones adicionales que le permitan configurar claves de registro de Windows, borrar registros de eventos de Windows, descargar y ejecutar archivos desde las URL proporcionadas, modificar datos del portapapeles, ejecutar comandos a través de cmd.exe, inyectar código shell en svchost.exe y ejecutar cargas útiles colocadas en el disco. La variante también implementa un módulo que captura pulsaciones de teclas, contenidos del portapapeles y títulos de ventanas en primer plano.
Las campañas de identidad de marca se dirigen a hablantes de chino con Gh0st RAT
La revelación se produjo cuando la Unidad 42 de Palo Alto Networks dijo que había identificado dos campañas de malware vinculadas que utilizaban “suplantaciones de marcas a gran escala” para entregar Gh0st RAT a usuarios de habla china. La actividad no se atribuyó a ningún actor o grupo de amenazas conocido.
Mientras que la primera campaña, denominada Campaign Trio, se llevó a cabo entre febrero y marzo de 2025 e imitó a i4tools, Youdao y DeepSeek en más de 2.000 dominios, la segunda campaña, descubierta en mayo de 2025, se dijo que era más sofisticada e imitaba más de 40 aplicaciones, incluidas QQ Music y el navegador Sogou. La segunda ola tiene el nombre en código Campaign Chorus.
“Desde la primera campaña hasta la segunda, el adversario ha evolucionado desde simples goteros hasta complejas cadenas de infección de múltiples etapas que abusan del software legítimo firmado para eludir las defensas modernas”, dijeron los investigadores de seguridad Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed y Reethika Ramesh.
Se descubrió que los dominios alojaban archivos ZIP que contenían instaladores troyanizados, lo que finalmente allanó el camino para la implementación de Gh0st RAT. Sin embargo, además de utilizar más programas de software como señuelo para llegar a una población más amplia de hablantes de chino, la segunda campaña también utiliza una cadena de infección “complicada y esquiva” que utiliza dominios de redireccionamiento intermedios para recuperar los archivos ZIP de los depósitos de servicios de nube pública.
 |
| Cadena de ataque al coro de campaña |
Esto permite que el enfoque evite los filtros de red que pueden bloquear el tráfico de dominios desconocidos, sin mencionar el aumento de la resiliencia operativa del actor de amenazas. En este caso, el instalador MSI también ejecuta un script de Visual Basic incorporado que es responsable de descifrar e iniciar la carga útil final mediante la descarga de DLL.
“La operación paralela de infraestructura antigua y nueva a través de una actividad sostenida sugiere una operación que no sólo está evolucionando, sino que consiste en múltiples infraestructuras y diferentes conjuntos de herramientas simultáneamente”, dijeron los investigadores. “Esto podría indicar pruebas A/B de TTP dirigidas a diferentes grupos de víctimas con distintos niveles de complejidad, o simplemente una estrategia de bajo costo para continuar usando activos más antiguos mientras sigan siendo efectivos”.
About The Author
