El grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) vinculado a China, conocido como APT31 se ha atribuido a ciberataques dirigidos al sector ruso de tecnología de la información (TI) entre 2024 y 2025 sin ser detectados durante largos períodos de tiempo.
«En el período de 2024 a 2025, el sector informático ruso, especialmente las empresas que trabajan como contratistas e integradores de soluciones para agencias gubernamentales, se enfrentaron a una serie de ataques informáticos dirigidos», dijeron en un informe técnico los investigadores de Positive Technologies, Daniil Grigoryan y Varvara Koloskova.
Se estima que APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (anteriormente Zirconium), está activo desde al menos 2010. Tiene un historial de atacar a una amplia gama de sectores, incluidos gobiernos, finanzas, aeroespacial y defensa, alta tecnología, construcción e ingeniería, telecomunicaciones, medios y seguros.
El grupo de ciberespionaje se centra principalmente en recopilar inteligencia que pueda proporcionar a Beijing y a las empresas estatales ventajas políticas, económicas y militares. En mayo de 2025, la República Checa culpó al grupo de hackers de atacar su Ministerio de Asuntos Exteriores.
Los ataques dirigidos a Rusia se caracterizan por el uso de servicios legítimos en la nube, principalmente los que prevalecen en el país, como Yandex Cloud, para comando y control (C2) y exfiltración de datos en un intento de mezclarse con el tráfico normal y escapar de la detección.
También se dice que el adversario organizó comandos cifrados y cargas útiles en perfiles de redes sociales, tanto nacionales como extranjeros, mientras realizaba sus ataques durante los fines de semana y días festivos. En al menos un ataque dirigido a una empresa de TI, APT31 violó su red ya a finales de 2022, antes de intensificar la actividad coincidiendo con las vacaciones de Año Nuevo de 2023.
En otra intrusión detectada en diciembre de 2024, los actores de amenazas enviaron un correo electrónico de phishing que contenía un archivo RAR que, a su vez, incluía un acceso directo de Windows (LNK) responsable de iniciar un cargador Cobalt Strike denominado CloudyLoader mediante carga lateral de DLL. Kaspersky documentó previamente los detalles de esta actividad en julio de 2025, mientras identificaba algunas superposiciones con un grupo de amenazas conocido como EastWind.
La compañía rusa de ciberseguridad también dijo que identificó un señuelo de archivo ZIP que se hizo pasar por un informe del Ministerio de Relaciones Exteriores de Perú para finalmente implementar CloudyLoader.
Para facilitar las etapas posteriores del ciclo de ataque, APT31 ha aprovechado un amplio conjunto de herramientas personalizadas y disponibles públicamente. La persistencia se logra configurando tareas programadas que imitan aplicaciones legítimas, como Yandex Disk y Google Chrome. Algunos de ellos se enumeran a continuación:
- SharpADUserIP, una utilidad C# para reconocimiento y descubrimiento
- SharpChrome.exe, para extraer contraseñas y cookies de los navegadores Google Chrome y Microsoft Edge
- SharpDir, para buscar archivos
- StickyNotesExtract.exe, para extraer datos de la base de datos de Windows Sticky Notes
- Tailscale VPN, para crear un túnel cifrado y configurar una red peer-to-peer (P2P) entre el host comprometido y su infraestructura.
- Túneles de desarrollo de Microsoft para canalizar el tráfico
- Owawa, un módulo IIS malicioso para el robo de credenciales
- AufTime, un backdoor Linux que utiliza la biblioteca wolfSSL para comunicarse con C2
- COFFProxy, una puerta trasera de Golang que admite comandos para canalizar el tráfico, ejecutar comandos, administrar archivos y entregar cargas útiles adicionales.
- VtChatter, una herramienta que utiliza comentarios codificados en Base64 a un archivo de texto alojado en VirusTotal como canal C2 bidireccional cada dos horas
- OneDriveDoor, un backdoor que utiliza Microsoft OneDrive como C2
- LocalPlugX, una variante de PlugX que se utiliza para propagarse dentro de la red local, en lugar de comunicarse con C2
- CloudSorcerer, un backdoor que utilizaba servicios en la nube como C2
- YaLeak, una herramienta .NET para subir información a Yandex Cloud
«APT31 repone constantemente su arsenal, aunque siguen utilizando algunas de sus antiguas herramientas», afirma Positive Technologies. «Como C2, los atacantes utilizan activamente los servicios en la nube, en particular los servicios Yandex y Microsoft OneDrive. Muchas herramientas también están configuradas para funcionar en modo servidor, esperando a que los atacantes se conecten a un host infectado».
«Además, el grupo filtra datos a través del almacenamiento en la nube de Yandex. Estas herramientas y técnicas permitieron a APT31 pasar desapercibido en la infraestructura de las víctimas durante años. Al mismo tiempo, los atacantes descargaron archivos y recopilaron información confidencial de los dispositivos, incluidas contraseñas de buzones de correo y servicios internos de las víctimas».