Un actor de amenaza del nexo con China conocido como APT24 Se ha observado el uso de un malware previamente no documentado denominado BADAUDIO para establecer acceso remoto persistente a redes comprometidas como parte de una campaña de casi tres años.
«Mientras que las operaciones anteriores se basaban en compromisos web estratégicos amplios para comprometer sitios web legítimos, APT24 recientemente ha pasado a utilizar vectores más sofisticados dirigidos a organizaciones en Taiwán», dijeron los investigadores de Google Threat Intelligence Group (GTIG), Harsh Parashar, Tierra Duncan y Dan Perez.
«Esto incluye el compromiso repetido de una empresa regional de marketing digital para ejecutar ataques a la cadena de suministro y el uso de campañas de phishing dirigidas».
APT24, también llamado Pitty Tiger, es el apodo asignado a un presunto grupo de piratería chino que se ha dirigido a los sectores gubernamental, sanitario, de construcción e ingeniería, minería, organizaciones sin fines de lucro y telecomunicaciones en Estados Unidos y Taiwán. También se sabe que el grupo participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, centrándose específicamente en información que hace que las organizaciones sean competitivas en sus campos, según Google.
Según un informe de FireEye de julio de 2014, se cree que el adversario estaba activo ya en 2008, y los ataques aprovechaban los correos electrónicos de phishing para engañar a los destinatarios para que abrieran documentos de Microsoft Office que, a su vez, explotan fallas de seguridad conocidas en el software (por ejemplo, CVE-2012-0158 y CVE-2014-1761) para infectar sistemas con malware.
Algunas de las familias de malware asociadas con APT24 incluyen CT RAT, una variante de Enfal/Lurid Downloader llamada MM RAT (también conocida como Goldsun-B) y variantes de Gh0st RAT conocidas como Paladin RAT y Leo RAT. Otro malware notable utilizado por el actor de amenazas es una puerta trasera llamada Taidoor (también conocida como Roudan).
Se considera que APT24 está estrechamente relacionado con otro grupo de amenazas persistentes avanzadas (APT) llamado Earth Aughisky, que también ha implementado Taidoor en sus campañas y ha aprovechado la infraestructura previamente atribuida a APT24 como parte de ataques que distribuyen otra puerta trasera denominada Specas.
Ambas cepas de malware, según un informe de Trend Micro de octubre de 2022, están diseñadas para leer la configuración del proxy de un archivo específico «%systemroot%\system32\sprxx.dll».
Los últimos hallazgos de GTIG muestran que la campaña BADAUDIO ha estado en marcha desde noviembre de 2022, y los atacantes utilizan abrevaderos, compromisos de la cadena de suministro y phishing como vectores de acceso inicial.
BADAUDIO, un malware altamente ofuscado escrito en C++, utiliza el aplanamiento del flujo de control para resistir la ingeniería inversa y actúa como un descargador de primera etapa que es capaz de descargar, descifrar y ejecutar una carga útil cifrada con AES desde un servidor de comando y control (C2) codificado. Funciona recopilando y filtrando información básica del sistema al servidor, que responde con la carga útil que se ejecutará en el host. En un caso, se trataba de una baliza de ataque de cobalto.
 |
| Resumen de la campaña BADAUDIO |
«BADAUDIO normalmente se manifiesta como una biblioteca de vínculos dinámicos (DLL) maliciosa que aprovecha el secuestro de orden de búsqueda de DLL (MITRE ATT&CK T1574.001) para su ejecución a través de aplicaciones legítimas», dijo GTIG. «Las variantes observadas recientemente indican una cadena de ejecución refinada: archivos cifrados que contienen DLL de BADAUDIO junto con archivos VBS, BAT y LNK».
Desde noviembre de 2022 hasta al menos principios de septiembre de 2025, se estima que APT24 ha comprometido más de 20 sitios web legítimos para inyectar código JavaScript malicioso para excluir específicamente a los visitantes provenientes de macOS, iOS y Android, generar una huella digital única del navegador utilizando la biblioteca FingerprintJS y mostrarles una ventana emergente falsa instándolos a descargar BADAUDIO bajo la apariencia de una actualización de Google Chrome.
Luego, a partir de julio de 2024, el grupo de piratas informáticos irrumpió en una empresa regional de marketing digital en Taiwán para orquestar un ataque a la cadena de suministro inyectando JavaScript malicioso en una biblioteca de JavaScript ampliamente utilizada que la empresa distribuía, lo que le permitió secuestrar más de 1.000 dominios.
El script de terceros modificado está configurado para llegar a un dominio con errores tipográficos que se hace pasar por una red de entrega de contenido (CDN) legítima y recuperar el JavaScript controlado por el atacante para tomar huellas dactilares de la máquina y luego mostrar la ventana emergente para descargar BADAUDIO después de la validación.
«El compromiso de junio de 2025 empleó inicialmente la carga de secuencias de comandos condicionales basadas en una identificación web única (el nombre de dominio específico) relacionada con el sitio web utilizando las secuencias de comandos de terceros comprometidas», dijo Google. «Esto sugiere una orientación personalizada, limitando el compromiso web estratégico (MITRE ATT&CK T1189) a un solo dominio».
 |
| Ataque a la cadena de suministro JS comprometida para entregar malware BADAUDIO |
«Sin embargo, durante un período de diez días en agosto, las condiciones se levantaron temporalmente, permitiendo que los 1.000 dominios que usaban los scripts quedaran comprometidos antes de que se volviera a imponer la restricción original».
También se ha observado que APT24 realiza ataques de phishing dirigidos desde agosto de 2024, utilizando señuelos relacionados con una organización de rescate de animales para engañar a los destinatarios para que respondan y, en última instancia, entreguen BADAUDIO a través de archivos cifrados alojados en Google Drive y Microsoft OneDrive. Estos mensajes vienen equipados con píxeles de seguimiento para confirmar si los destinatarios abrieron los correos electrónicos y adaptar sus esfuerzos en consecuencia.
«El uso de técnicas avanzadas como el compromiso de la cadena de suministro, la ingeniería social de múltiples capas y el abuso de servicios legítimos en la nube demuestra la capacidad del actor para un espionaje persistente y adaptable», dijo Google.
El grupo APT China-Nexus apunta al Sudeste Asiático
La divulgación se produce cuando CyberArmor detalló una campaña de espionaje sostenida orquestada por un presunto actor de amenazas del nexo con China contra el gobierno, los medios y los sectores de noticias en Laos, Camboya, Singapur, Filipinas e Indonesia. La actividad ha sido nombrada en código. Dragón de otoño.
La cadena de ataque comienza con un archivo RAR probablemente enviado como archivo adjunto en mensajes de phishing que, cuando se extrae, explota una falla de seguridad de WinRAR (CVE-2025-8088, puntuación CVSS: 8.8) para iniciar un script por lotes («Windows Defender Definición Update.cmd») que configura la persistencia para garantizar que el malware se inicie automáticamente cuando el usuario inicie sesión en el sistema la próxima vez.
También descarga un segundo archivo RAR alojado en Dropbox a través de PowerShell. El archivo RAR contiene dos archivos, un ejecutable legítimo («obs-browser-page.exe») y una DLL maliciosa («libcef.dll»). Luego, el script por lotes ejecuta el binario para descargar la DLL, que luego se comunica con el actor de amenazas a través de Telegram para obtener comandos («shell»), capturar capturas de pantalla («screenshot») y soltar cargas útiles adicionales («upload»).
«El controlador del bot (actor de amenazas) utiliza estos tres comandos para recopilar información y realizar un reconocimiento de la computadora de la víctima y desplegar malware de tercera etapa», dijeron los investigadores de seguridad Nguyen Nguyen y BartBlaze. «Este diseño permite que el controlador permanezca sigiloso y evada la detección».
La tercera etapa implica una vez más el uso de carga lateral de DLL para iniciar una DLL fraudulenta («CRClient.dll») mediante el uso de un binario real («Creative Cloud Helper.exe»), que luego descifra y ejecuta el código shell responsable de cargar y ejecutar la carga útil final, un implante liviano escrito en C++ que puede comunicarse con un servidor remoto («public.megadatacloud(.)com») y admite ocho comandos diferentes.
- 65, para ejecutar un comando específico usando «cmd.exe», recopile el resultado y extráigalo al servidor C2
- 66, para cargar y ejecutar una DLL
- 67, para ejecutar shellcode
- 68, para actualizar la configuración
- 70, para leer un archivo proporcionado por el operador
- 71, para abrir un archivo y escribir el contenido proporcionado por el operador
- 72, para obtener/configurar el directorio actual
- 73, dormir durante un intervalo aleatorio y terminarse
Si bien la actividad no ha estado vinculada a un actor o grupo de amenazas específico, posiblemente sea el trabajo de un grupo nexo con China que posee capacidades operativas intermedias. Esta evaluación se basa en los continuos ataques del adversario a los países que rodean el Mar de China Meridional.
«La campaña de ataque está dirigida», dijeron los investigadores. «A lo largo de nuestro análisis, observamos con frecuencia que las siguientes etapas se alojaban detrás de Cloudflare, con restricciones geográficas habilitadas, así como otras restricciones, como permitir solo agentes de usuario HTTP específicos».