El actor de amenazas conocido como joya Se ha centrado cada vez más en objetivos gubernamentales en Europa desde julio de 2025, incluso mientras continúa atacando entidades ubicadas en el sudeste asiático y América del Sur.
Check Point Research está rastreando el clúster bajo el nombre Dragón de tinta. La comunidad de ciberseguridad en general también hace referencia a él con los nombres CL-STA-0049, Earth Alux y REF7707. Se estima que el grupo de piratería alineado con China está activo desde al menos marzo de 2023.
«Las campañas del actor combinan una ingeniería de software sólida, manuales operativos disciplinados y la voluntad de reutilizar herramientas nativas de la plataforma para integrarlas en la telemetría empresarial normal», dijo la compañía de ciberseguridad en un desglose técnico publicado el martes. «Esta combinación hace que sus intrusiones sean efectivas y sigilosas».
Eli Smadja, director de grupo de I+D de productos de Check Point Software, dijo a The Hacker News que la actividad aún continúa y que la campaña ha «impactado a varias docenas de víctimas, incluidas entidades gubernamentales y organizaciones de telecomunicaciones, en toda Europa, Asia y África».
Los detalles del grupo de amenazas surgieron por primera vez en febrero de 2025, cuando Elastic Security Labs y Palo Alto Networks Unit 42 detallaron el uso de una puerta trasera llamada FINALDRAFT (también conocida como Squidoor) que es capaz de infectar sistemas Windows y Linux. En los últimos meses, a Ink Dragon también se le ha atribuido una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.
Las cadenas de ataques montadas por el adversario han aprovechado servicios vulnerables en aplicaciones web expuestas a Internet para lanzar shells web, que luego se utilizan para entregar cargas útiles adicionales como VARGEIT y balizas Cobalt Strike para facilitar el comando y control (C2), el descubrimiento, el movimiento lateral, la evasión de defensa y la exfiltración de datos.
Smadja dijo a la publicación que FINALDRAFT y la puerta trasera rastreada por Trend Micro como VARGEIT son la misma familia de malware que se ha observado en diferentes etapas de desarrollo, siendo esta última una variante anterior. FINALDRAFT, por el contrario, es una «evolución más nueva y avanzada» que el actor de amenazas ha desplegado en sus operaciones recientes.
Otra puerta trasera notable en el arsenal de malware del actor de amenazas es NANOREMOTE, que utiliza la API de Google Drive para cargar y descargar archivos entre el servidor C2 y el punto final comprometido. Check Point dijo que no encontró malware en las intrusiones e investigaciones que observó.
«Es posible que el actor implemente selectivamente herramientas de un conjunto de herramientas más amplio, dependiendo del entorno de la víctima, las necesidades operativas y el deseo de mezclarse con el tráfico legítimo», dijo Smadja.
Ink Dragon también se ha basado en valores de clave de máquina ASP.NET predecibles o mal administrados para llevar a cabo ataques de deserialización ViewState contra servidores IIS y SharePoint vulnerables, y luego instalar un módulo ShadowPad IIS Listener personalizado para convertir estos servidores comprometidos en parte de su infraestructura C2 y permitirles enviar comandos y tráfico mediante proxy, mejorando la resiliencia en el proceso.
«Este diseño permite a los atacantes enrutar el tráfico no sólo más profundamente dentro de la red de una sola organización, sino también a través de diferentes redes de víctimas», dijo Check Point. «Como resultado, un compromiso puede convertirse silenciosamente en otro salto en una infraestructura global de múltiples capas que respalda campañas en curso en otros lugares, combinando el control operativo con la reutilización estratégica de activos previamente violados».
El módulo de escucha también está equipado para ejecutar diferentes comandos en la máquina IIS, proporcionando a los atacantes un mayor control sobre el sistema para realizar reconocimientos y preparar cargas útiles.
Además de explotar claves de máquina divulgadas públicamente para lograr la deserialización de ASP.NET ViewState, se ha descubierto que el actor de amenazas utiliza fallas de ToolShell SharePoint como arma para colocar shells web en servidores comprometidos. Otros pasos realizados por Ink Dragon se enumeran a continuación:
- Utilice la clave de la máquina IIS para obtener una credencial administrativa local y aprovecharla para el movimiento lateral a través de un túnel RDP
- Cree tareas programadas e instale servicios para establecer persistencia
- Vuelque los volcados de LSASS y extraiga las colmenas del registro para lograr una escalada de privilegios
- Modifique las reglas del firewall del host para permitir el tráfico saliente y transformar los hosts infectados en una red de retransmisión ShadowPad.
«En al menos un caso, el actor localizó una sesión RDP inactiva perteneciente a un administrador de dominio que se había autenticado a través de autenticación de nivel de red (CredSSP) usando el respaldo NTLMv2. Dado que la sesión permaneció desconectada pero no cerrada, es muy probable que LSASS retuviera el token de inicio de sesión asociado y el verificador NTLM en la memoria», dijo Check Point.
«Ink Dragon obtuvo acceso a nivel de SISTEMA al host, extrajo el token (y posiblemente el material de clave NTLM) y lo reutilizó para realizar operaciones SMB autenticadas. A través de estas acciones, pudieron escribir en recursos compartidos administrativos y filtrar NTDS.dit y colmenas de registro, marcando el punto en el que lograron escalamiento y control de privilegios en todo el dominio».
Se ha descubierto que las intrusiones se basan en una serie de componentes en lugar de una única puerta trasera o un marco monolítico para establecer una persistencia a largo plazo. Estos incluyen –
- ShadowPad Loader, que se utiliza para descifrar y ejecutar el módulo principal de ShadowPad en la memoria
- CDBLoader, que utiliza Microsoft Console Debugger («cdb.exe») para ejecutar shellcode y cargar cargas útiles cifradas
- LalsDumper, que extrae un volcado LSASS
- 032Loader, que se utiliza para descifrar y ejecutar cargas útiles
- FINALDRAFT, una versión actualizada de la conocida herramienta de administración remota que abusa de Outlook y la API Microsoft Graph para C2
«El clúster ha introducido una nueva variante del malware FINALDRAFT con mayor sigilo y mayor rendimiento de exfiltración, junto con técnicas de evasión avanzadas que permiten el movimiento lateral sigiloso y la implementación de malware en múltiples etapas a través de redes comprometidas», dijo Check Point.
«FINALDRAFT implementa un marco de comando modular en el que los operadores envían documentos de comando codificados al buzón de correo de la víctima, y el implante los extrae, descifra y ejecuta».
La compañía de ciberseguridad también señaló que detectó evidencia de un segundo actor de amenaza conocido como REF3927 (también conocido como RudePanda) en «varios» de los mismos entornos de víctimas violados por Ink Dragon. Dicho esto, no hay indicios de que los dos grupos estén vinculados operativamente. Se cree que ambos grupos de intrusión explotaron los mismos métodos de acceso inicial para obtener puntos de apoyo.
«Ink Dragon presenta un modelo de amenaza en el que la frontera entre ‘host comprometido’ e ‘infraestructura de comando’ ya no existe», concluyó Check Point. «Cada punto de apoyo se convierte en un nodo en una red más grande controlada por el operador: una malla viva que se fortalece con cada víctima adicional».
«Por lo tanto, los defensores deben ver las intrusiones no sólo como violaciones locales sino como vínculos potenciales en un ecosistema externo administrado por el atacante, donde cerrar un solo nodo es insuficiente a menos que se identifique y desmantele toda la cadena de retransmisión. La arquitectura centrada en la retransmisión de Ink Dragon se encuentra entre los usos más maduros de ShadowPad observados hasta la fecha. Un modelo para el acceso multiorganizacional a largo plazo construido sobre las propias víctimas».
En una declaración compartida con The Hacker News, Lior Rochberger Habshush, investigador principal de amenazas en la Unidad 42 de Palo Alto Networks, dijo que los hallazgos de Check Point son consistentes con su propia inteligencia interna sobre las tácticas, técnicas y procedimientos (TTP) del grupo, junto con su expansión a objetivos europeos.
«Nuestro seguimiento ha identificado un aumento en la actividad de este grupo en los últimos meses y seguimos de cerca estos desarrollos», añadió Rochberger Habshush.
(La historia se actualizó después de la publicación para incluir una respuesta de la Unidad 42 de Palo Alto Networks).