Un servidor de actualización abandonado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue aprovechado por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia.
«Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la nube o inicio de sesión, para distribuir malware y recopilar información confidencial», dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un informe exhaustivo.
La campaña, identificada en junio de 2025, ha sido nombrado en código Duchón por la compañía de ciberseguridad. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%).
Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («Sogouzhuyin (.) Com») asociado con Sogou Zhuyin, un servicio de IME legítimo que dejó de recibir actualizaciones en junio de 2019, para difundir las cargas maliciosas un mes después. Se estima que varios cientos de víctimas fueron afectadas.
«El atacante se hizo cargo del servidor de actualización abandonado y, después de registrarlo, usó el dominio para organizar actualizaciones maliciosas desde octubre de 2024», dijeron los investigadores. «A través de este canal, se han desplegado múltiples familias de malware, incluidos Gtelam, C6door, Desfy y Toshis».
Las familias de malware desplegadas tienen diferentes propósitos, incluido el acceso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para evadir la detección, los actores de amenaza también aprovecharon los servicios en la nube de terceros para ocultar sus actividades de red en toda la cadena de ataque.
Estas cepas de malware permiten el acceso remoto, el robo de información y la funcionalidad de la puerta trasera, con los atacantes también utilizando servicios legítimos de almacenamiento en la nube como Google Drive como punto de exfiltración de datos y para ocultar el tráfico de red maliciosa.
La cadena de ataque comienza cuando los usuarios desprevenidos descargan el instalador oficial para Sogou Zhuyin de Internet, como la entrada tradicional de la página de Wikipedia china para Sogou Zhuyin, que, en marzo de 2025, se modificó para apuntar a los usuarios al dominio malicioso DL (.) Sogouzhuyin (.) Com.
Si bien el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de actualización automática se activa un par de horas después de la instalación, lo que provoca el binario de actualizadores «Zhuyinup.exe, para obtener un archivo de configuración integrado de una URL integrada:» SRV-PC.Sogouzhuyin (.) Com/V1/actualización/versión «.
Es este proceso de actualización el que ha sido manipulado para Desfy, Gtelam, C6door y Toshis con el objetivo final de perfilar y recopilar datos de objetivos de alto valor –
- Toshis (Detectado por primera vez en diciembre de 2024), un cargador diseñado para obtener cargas útiles de la próxima etapa (Strike Cobalt o Merlin Agent para el marco mítico) desde un servidor externo. También es una variante de Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar el golpe de cobalto o una puerta trasera llamada EntryShell en el pasado.
- Desfy (Detectado por primera vez en mayo de 2025), un spyware que recopila nombres de archivos de dos ubicaciones: escritorio y archivos de programa
- Gelam (Detectado por primera vez en mayo de 2025), otro spyware que recopila nombres de archivos que coinciden con un conjunto específico de extensiones (PDF, DOC, DOCX, XLS, XLSX, PPT y PPTX), y exfila los detalles a Google Drive
- C6dooruna puerta trasera basada en GO a medida que utiliza protocolos HTTP y WebSocket para comando y control para recibir instrucciones para recopilar información del sistema, ejecutar comandos arbitrarios, realizar operaciones de archivos, cargar/descargar archivos, capturar capturas de pantalla, enumerar procesos de ejecución, enumerar los directorios e inyectar el código de shell en un proceso dirigido
Un análisis posterior de C6door ha descubierto la presencia de caracteres chinos simplificados integrados dentro de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en los chinos.
«Parece que el atacante todavía estaba en la fase de reconocimiento, principalmente buscando objetivos de alto valor», dijo Trend Micro. «Como resultado, no se observaron más actividades posteriores a la explotación en la mayoría de los sistemas de víctimas. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código Visual Studio».
Curiosamente, hay evidencia de que Toshis también se distribuyó a los objetivos que usan un sitio web de phishing, probablemente en relación con una campaña de phishing de lanza dirigida a Asia oriental y, en menor medida, Noruega y los Estados Unidos, también se han observado los ataques de phishing adoptando un enfoque de dos puntas,
- Servir páginas de inicio de sesión falsas con señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento de OAuth a las aplicaciones controladas por los atacantes, o
- Sirviendo páginas de almacenamiento de nube falsas que imitan a Tencent Cloud Streamlink para descargar archivos de cremallera maliciosa que contienen toshis
Estos correos electrónicos de phishing incluyen una URL atrapada en el bobado y un documento señuelo que engaña al destinatario para que interactúe con el contenido malicioso, activando en última instancia una secuencia de ataque de varias etapas diseñada para soltar toshis utilizando la carga lateral de DLL u obtener acceso no autorizado y control sobre sus buzones de Google o Microsoft a través de un indicador de permiso de oouthis.
Trend Micro dijo que el Taoth comparte infraestructura y superposición de herramientas con actividad de amenaza previamente documentada por parte de Itochu, pintando la imagen de un actor de amenaza persistente con un enfoque en el reconocimiento, el espionaje y el abuso por correo electrónico.
Para combatir estas amenazas, se recomienda a las organizaciones para auditar de manera rutinaria sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. Se insta a los usuarios a revisar los permisos solicitados por las aplicaciones en la nube antes de otorgar acceso.
«En la operación Sogou Zhuyin, el actor de amenaza mantuvo un perfil bajo, realizando un reconocimiento para identificar objetivos valiosos entre las víctimas», dijo la compañía. «Mientras tanto, en las operaciones de phishing de lanza en curso, el atacante distribuyó correos electrónicos maliciosos a los objetivos para una mayor explotación».