El actor de amenazas conocido como Aliento de dragón Se ha observado que utiliza un cargador de varias etapas con nombre en código RONINGLOADER para entregar una variante modificada de un troyano de acceso remoto llamado Gh0st RAT.
La campaña, que está dirigida principalmente a usuarios de habla china, emplea instaladores troyanizados de NSIS que se hacen pasar por legítimos, como Google Chrome y Microsoft Teams, según Elastic Security Labs.
«La cadena de infección emplea un mecanismo de entrega de múltiples etapas que aprovecha varias técnicas de evasión, con muchas redundancias destinadas a neutralizar productos de seguridad de terminales populares en el mercado chino», dijeron los investigadores de seguridad Jia Yu Chan y Salim Bitam. «Estos incluyen traer un controlador firmado legítimamente, implementar políticas WDAC personalizadas y alterar el binario de Microsoft Defender a través del abuso de PPL (Protected Process Light)».
Dragon Breath, también conocido como APT-Q-27 y Golden Eye, fue destacado previamente por Sophos en mayo de 2023 en relación con una campaña que aprovechó una técnica llamada carga lateral de DLL de doble inmersión en ataques dirigidos a usuarios en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China.
El grupo de piratas informáticos, que se considera activo desde al menos 2020, está vinculado a una entidad más grande de habla china conocida como Miuuti Group y conocida por atacar las industrias de los juegos de azar y las apuestas en línea.
En la última campaña documentada por Elastic Security Labs, los instaladores NSIS maliciosos para aplicaciones confiables actúan como plataforma de lanzamiento para dos instaladores NSIS integrados más, uno de los cuales («letsvpnlatest.exe») es benigno e instala el software legítimo. El segundo binario NSIS («Snieoatwtregoable.exe») es responsable de desencadenar sigilosamente la cadena de ataque.
Esto implica entregar una DLL y un archivo cifrado («tp.png»), el primero se usa para leer el contenido de la supuesta imagen PNG y extraer el código shell diseñado para lanzar otro binario en la memoria.
RONINGLOADER, además de intentar eliminar cualquier gancho del área de usuario cargando un nuevo «ntdll.dll», intenta elevar sus privilegios mediante el uso del comando runas y escanea una lista de procesos en ejecución en busca de soluciones codificadas relacionadas con antivirus, como Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager y Qihoo 360 Total Security.
Luego, el malware procede a finalizar esos procesos identificados. En caso de que el proceso identificado esté asociado con Qihoo 360 Total Security (p. ej., «360tray.exe», «360Safe.exe» o «ZhuDongFangYu.exe»), se necesita un enfoque diferente. Este paso implica la siguiente secuencia de acciones:
- Bloquee todas las comunicaciones de red cambiando el firewall
- Inyecte shellcode en el proceso (vssvc.exe) asociado con el servicio Volume Shadow Copy (VSS), no sin antes otorgarse el token SeDebugPrivilege.
- Inicie el servicio VSS y obtenga su ID de proceso
- Inyecte shellcode en el proceso del servicio VSS utilizando la técnica llamada PoolParty
- Cargue y haga uso de un controlador firmado llamado «ollama.sys» para finalizar los tres procesos mediante un servicio temporal llamado «xererre1»
- Restaurar la configuración del firewall
Para otros procesos de seguridad, el cargador escribe directamente el controlador en el disco y crea un servicio temporal llamado «ollama» para cargar el controlador, realizar la terminación del proceso y detener y eliminar el servicio.
 |
| RONINGLOADER Flujo de ejecución |
Una vez que se han eliminado todos los procesos de seguridad en el host infectado, RONINGLOADER ejecuta scripts por lotes para evitar el Control de cuentas de usuario (UAC) y crear reglas de firewall para bloquear las conexiones entrantes y salientes asociadas con el software de seguridad Qihoo 360.
El malware también ha sido observado utilizando dos técnicas documentadas a principios de este año por el investigador de seguridad Zero Salarium que abusan de PPL y del sistema de informe de errores de Windows («WerFaultSecure.exe») (también conocido como EDR-Freeze) para desactivar Microsoft Defender Antivirus. Además, apunta al control de aplicaciones de Windows Defender (WDAC) al escribir una política maliciosa que bloquea explícitamente a los proveedores de seguridad chinos Qihoo 360 Total Security y Huorong Security.
El objetivo final del cargador es inyectar una DLL maliciosa en «regsvr32.exe», un binario legítimo de Windows, para ocultar su actividad y lanzar una carga útil de la siguiente etapa en otro proceso legítimo del sistema con altos privilegios como «TrustedInstaller.exe» o «elevation_service.exe». El malware final implementado es una versión modificada de Gh0st RAT.
El troyano está diseñado para comunicarse con un servidor remoto para obtener instrucciones adicionales que le permitan configurar claves del Registro de Windows, borrar registros de eventos de Windows, descargar y ejecutar archivos desde las URL proporcionadas, alterar datos del portapapeles, ejecutar comandos a través de «cmd.exe», inyectar código shell en «svchost.exe» y ejecutar cargas útiles colocadas en el disco. La variante también implementa un módulo que captura las pulsaciones de teclas, el contenido del portapapeles y los títulos de las ventanas en primer plano.
Las campañas de suplantación de marca se dirigen a los hablantes de chino con Gh0st RAT
La divulgación se produce cuando la Unidad 42 de Palo Alto Networks dijo que identificó dos campañas de malware interconectadas que han empleado «suplantación de marca a gran escala» para entregar Gh0st RAT a usuarios de habla china. La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido.
Mientras que la primera campaña, denominada Campaign Trio, se llevó a cabo entre febrero y marzo de 2025 imitando i4tools, Youdao y DeepSeek en más de 2000 dominios, se dice que la segunda campaña, detectada en mayo de 2025, fue más sofisticada y se hizo pasar por más de 40 aplicaciones, incluidas QQ Music y el navegador Sogou. La segunda ola ha recibido el nombre en código de Campaign Chorus.
«Desde la primera campaña hasta la segunda, el adversario avanzó desde simples goteros hasta complejas cadenas de infección de múltiples etapas que hacen un mal uso de software legítimo firmado para eludir las defensas modernas», dijeron los investigadores de seguridad Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed y Reethika Ramesh.
Se ha descubierto que los dominios alojan archivos ZIP que contienen instaladores troyanizados, lo que en última instancia allana el camino para la implementación de Gh0st RAT. La segunda campaña, sin embargo, no sólo aprovecha más programas de software como señuelo para llegar a un grupo demográfico más amplio de hablantes de chino, sino que también emplea una cadena de infección «intrincada y esquiva» que utiliza dominios de redirección intermediarios para recuperar los archivos ZIP de los depósitos de servicios de nube pública.
 |
| Cadena de ataque de coro de campaña |
Al hacerlo, el enfoque puede eludir los filtros de red que son capaces de bloquear el tráfico de dominios desconocidos, sin mencionar la resiliencia operativa del actor de la amenaza. El instalador MSI, en este caso, también ejecuta un script de Visual Basic incorporado que es responsable de descifrar e iniciar la carga útil final mediante la carga lateral de DLL.
«La operación paralela de infraestructura antigua y nueva a través de una actividad sostenida sugiere una operación que no está simplemente evolucionando sino que consiste en múltiples infraestructuras y distintos conjuntos de herramientas simultáneamente», dijeron los investigadores. «Esto podría indicar pruebas A/B de TTP, apuntando a diferentes conjuntos de víctimas con diferentes niveles de complejidad, o simplemente una estrategia rentable de continuar aprovechando activos más antiguos mientras sigan siendo efectivos».