El actor de amenazas nombrado Escarabajo joya Se ha centrado cada vez más en objetivos gubernamentales en Europa desde julio de 2025, incluso mientras continúa atacando a empresas en el sudeste asiático y América del Sur.
Check Point Research está rastreando el clúster con este nombre Dragón de tinta. También es mencionado por la comunidad de ciberseguridad en general con los nombres CL-STA-0049, Earth Alux y REF7707. Se estima que el grupo de hackers alineado con China ha estado activo desde al menos marzo de 2023.
“Las campañas del actor combinan una ingeniería de software sólida, manuales operativos disciplinados y la voluntad de reutilizar herramientas nativas de la plataforma para integrarlas con la telemetría empresarial normal”, dijo la firma de ciberseguridad en un desglose técnico publicado el martes. “Esta combinación hace que sus intervenciones sean efectivas y sigilosas”.
Eli Smadja, jefe del grupo de investigación y desarrollo de productos de Check Point Software, dijo a The Hacker News que la actividad estaba en curso y que la campaña había “afectado a varias docenas de víctimas, incluidas agencias gubernamentales y organizaciones de telecomunicaciones en Europa, Asia y África”.
Los detalles sobre el grupo de amenazas surgieron por primera vez en febrero de 2025, cuando Elastic Security Labs y Palo Alto Networks Unit 42 detallaron el uso de una puerta trasera llamada FINALDRAFT (también conocida como Squidoor) que puede infectar sistemas Windows y Linux. En los últimos meses, a Ink Dragon también se le ha atribuido una infracción de cinco meses contra un proveedor de servicios de TI ruso.
Las cadenas de ataques creadas por el adversario han aprovechado los servicios vulnerables en aplicaciones web expuestas a Internet para lanzar shells web, que luego se utilizan para entregar cargas útiles adicionales, como balizas VARGEIT y Cobalt Strike para facilitar el comando y control (C2), la detección, el movimiento lateral, la evasión defensiva y la exfiltración de datos.
Otra puerta trasera notable en el arsenal de malware del actor de amenazas es NANOREMOTE, que utiliza la API de Google Drive para cargar y descargar archivos entre el servidor C2 y el punto final comprometido. Check Point afirmó que no encontró el malware durante los robos e investigaciones que observó.
“Es posible que el actor esté implementando selectivamente herramientas de un conjunto de herramientas más amplio, dependiendo del entorno de la víctima, las necesidades operativas y el deseo de mezclarse con el tráfico legítimo”, dijo Smadja.
Ink Dragon también se basó en valores de clave de máquina ASP.NET predecibles o mal administrados para realizar ataques de deserialización ViewState en servidores IIS y SharePoint vulnerables y luego instaló un módulo de escucha ShadowPad IIS personalizado para convertir estos servidores vulnerables en su infraestructura C2 y permitirles enrutar comandos y tráfico, mejorando así la resiliencia.
“Este diseño permite a los atacantes dirigir el tráfico no sólo más profundamente hacia la red de una sola organización, sino también a través de diferentes redes de víctimas”, dijo Check Point. “Como resultado, un compromiso puede convertirse silenciosamente en otra grieta en una infraestructura global de múltiples capas que respalda campañas en curso en otros lugares y combina el control operativo con la reutilización estratégica de activos previamente violados”.
El módulo de escucha también está equipado para ejecutar varios comandos en la computadora IIS, lo que brinda a los atacantes un mayor control sobre el sistema para realizar reconocimientos y entregar cargas útiles.
Además de explotar claves de máquina divulgadas públicamente para deserializar ASP.NET ViewState, se descubrió que el actor de amenazas estaba explotando las vulnerabilidades de ToolShell SharePoint para colocar shells web en servidores comprometidos. Otros pasos tomados por Ink Dragon se enumeran a continuación:
- Utilice la clave de la máquina IIS para obtener credenciales administrativas locales y utilizarlas para el movimiento lateral a través de un túnel RDP
- Cree tareas programadas e instale servicios para establecer persistencia
- Cree volcados de LSASS y extraiga colmenas de registro para lograr una escalada de privilegios
- Modifique las reglas del firewall del host para permitir el tráfico saliente y convertir los hosts infectados en una red de retransmisión ShadowPad.
“En al menos un caso, el actor encontró una sesión RDP inactiva perteneciente a un administrador de dominio que se había autenticado mediante autenticación de nivel de red (CredSSP) usando el respaldo NTLMv2. Dado que la sesión permaneció desconectada pero no cerrada, es muy probable que LSASS retuviera el token de inicio de sesión asociado y el verificador NTLM en la memoria”, dijo Check Point.
“Ink Dragon obtuvo acceso a nivel de SISTEMA al host, extrajo el token (y posiblemente el material de clave NTLM) y lo reutilizó para realizar operaciones SMB autenticadas. A través de estas acciones, pudieron escribir en recursos compartidos administrativos y exfiltrar NTDS.dit y colmenas de registro, marcando el punto en el que lograron escalamiento y control de privilegios en todo el dominio”.
Se descubrió que las infracciones dependían de una serie de componentes en lugar de una única puerta trasera o un marco monolítico para garantizar la persistencia a largo plazo. Esto incluye –
- ShadowPad Loader se utiliza para descifrar y ejecutar el módulo principal de ShadowPad en la memoria
- CDBLoader, que utiliza Microsoft Console Debugger (“cdb.exe”) para ejecutar shellcode y cargar cargas útiles cifradas
- LalsDumper, que extrae un volcado LSASS
- 032Loader usado para descifrar y ejecutar la carga útil
- FINALDRAFT, una versión actualizada de la popular herramienta de administración remota que abusa de Outlook y la API Microsoft Graph para C2
“El clúster introdujo una nueva variante del malware FINALDRAFT con sigilo mejorado y mayor rendimiento de exfiltración, junto con técnicas de evasión avanzadas que permiten el movimiento lateral sigiloso y la entrega de malware en múltiples etapas a través de redes comprometidas”, dijo Check Point.
“FINALDRAFT implementa un marco de comando modular en el que los operadores envían documentos de comando cifrados al buzón de correo de la víctima y el implante los recupera, descifra y ejecuta”.
La empresa de ciberseguridad también señaló que había descubierto evidencia de un segundo actor de amenaza llamado REF3927 (también conocido como RudePanda) en “múltiples” entornos de las mismas víctimas atacadas por Ink Dragon. Sin embargo, no hay evidencia de que los dos grupos estén vinculados operativamente. Se cree que ambos grupos de intrusos utilizaron los mismos métodos de entrada iniciales para afianzarse.
“Ink Dragon representa un modelo de amenaza en el que la línea entre 'host comprometido' e 'infraestructura de comando' ya no existe”, concluyó Check Point. “Cada base se convierte en un nodo de una red más grande controlada por el operador: una red viva que se fortalece con cada víctima adicional”.
“Por lo tanto, los defensores deben ver las intrusiones no sólo como violaciones locales, sino como vínculos potenciales en un ecosistema externo administrado por el atacante donde cerrar un solo nodo no es suficiente a menos que se identifique y elimine toda la cadena de retransmisión. La arquitectura centrada en la retransmisión de Ink Dragon se encuentra entre las aplicaciones más sofisticadas de ShadowPad vistas hasta la fecha. Un modelo para el acceso a largo plazo entre organizaciones basado en las propias víctimas”.
About The Author
