Los investigadores de ciberseguridad han detallado una nueva campaña doblada Disculpa Eso aprovecha la tecnología de implementación de software Clickonce de Microsoft y las puertas traseras de Golang a medida para comprometer a las organizaciones dentro de los sectores de energía, petróleo y gas.
«La campaña exhibe características alineadas con los actores de amenaza afiliados a los chinos, aunque la atribución sigue siendo cautelosa», dijeron los investigadores de Trellix Nico Paulo Yturriaga y Pham Duy Phuc en una redacción técnica.
«Sus métodos reflejan un cambio más amplio hacia las tácticas de ‘vida-off-the-land’, combinando operaciones maliciosas dentro de las herramientas de nubes y empresas para evadir los mecanismos de detección tradicionales».
Los ataques de phishing, en pocas palabras, utilizan un cargador basado en .NET llamado OneCliknet para implementar una sofisticada infraestructura de Backdoor Backdoor RunnerBeacon que está diseñada para comunicarse con una infraestructura controlada por el atacante que está oscurecida utilizando servicios de nube de Amazon Web Services (AWS).
Microsoft ofrece Clickonce como una forma de instalar y actualizar aplicaciones basadas en Windows con una interacción mínima del usuario. Fue introducido en .NET Framework 2.0. Sin embargo, la tecnología puede ser un medio atractivo para los actores de amenazas que buscan ejecutar sus cargas útiles maliciosas sin elevar las banderas rojas.
Como se señaló en el marco Mitre ATT y CK, las aplicaciones Clickonce se pueden usar para ejecutar código malicioso a través de un binario de Windows de confianza, «DFSVC.EXE», que es responsable de instalar, iniciar y actualizar las aplicaciones. Las aplicaciones se lanzan como un proceso infantil de «DFSVC.EXE».
«Debido a que las aplicaciones Clickonce solo reciben permisos limitados, no requieren permisos administrativos para instalar», explica Miter. «Como tal, los adversarios pueden abusar de Clickonce a la ejecución de código malicioso sin necesidad de aumentar los privilegios».
Trellix dijo que los cadenas de ataque comienzan con correos electrónicos de phishing que contienen un enlace a un sitio web falso de análisis de hardware que sirve como un conducto para entregar una aplicación Clickonce, que, a su vez, ejecuta un ejecutable usando dfsvc.exe.
El binario es un cargador de ClickOnce que se lanza inyectando el código malicioso a través de otra técnica conocida como inyección de AppDomainManager, lo que finalmente resulta en la ejecución de un código de sellado encriptado en la memoria para cargar la puerta trasera RunnerBeacon.
El implante de Golang puede comunicarse con un servidor de comando y control (C2) sobre HTTP (S), WebSockets, TCP en bruto y tuberías con nombre de SMB, lo que le permite realizar operaciones de archivos, enumerar y terminar los procesos de ejecución, ejecutar comandos de shell, escalar privilegios utilizando token y impersonación, y lograr un movimiento posterior.
Además, la puerta trasera incorpora características anti-análisis para evadir la detección y admite operaciones de red como escaneo de puertos, reenvío de puertos y protocolo Socks5 para facilitar las características proxy y de enrutamiento.
«El diseño de RunnerBeacon es muy paralelo a las balizas Cobalt Strike basadas en GO (por ejemplo, la familia Geacon/Geacon Plus/Geacon Pro)», dijeron los investigadores.
«Al igual que Geacon, el conjunto de comandos (shell, enumeración de procesos, E/S de archivo, proxy, etc.) y el uso del protocolo cruzado C2 son muy similares. Estas similitudes estructurales y funcionales sugieren que el runnerbeacon puede ser una bifurcación evolucionada o una variante modificada de geacon privada, adaptadas a las operaciones más rectosas y de nube nubes».
Se han observado tres variantes diferentes de OneClick solo en marzo de 2025: V1A, BPI-MDM y V1D, con cada iteración demostrando capacidades progresivamente mejoradas para volar bajo el radar. Dicho esto, se identificó una variante de Runnerbeacon en septiembre de 2023 en una compañía en el Medio Oriente en el sector de petróleo y gas.
Aunque las técnicas como la inyección de AppDomainManager han sido utilizadas por actores de amenaza vinculados a Corea y Corea del Norte en el pasado, la actividad no se ha atribuido formalmente a ningún actor o grupo de amenazas conocido. Trellix le dijo a The Hacker News que no tenía más detalles para compartir en la escala de estos ataques y las regiones que han sido atacadas.
El desarrollo se produce cuando Qianxin detalló una campaña montada por un actor de amenaza que rastrea como APT-Q-14 que también ha empleado aplicaciones de Clickonce para propagar malware explotando una falla de secuencias de comandos de sitios cruzados (XSS) en la versión web de una plataforma de correo electrónico sin nombre. La vulnerabilidad, dijo, desde entonces ha sido reparada.
La falla XSS se activa automáticamente cuando una víctima abre un correo electrónico de phishing, causando la descarga de la aplicación ClickOne. «El cuerpo del correo electrónico de phishing proviene de Yahoo News, que coincide con la industria de las víctimas», señaló Qianxin.
La secuencia de intrusos sirve a un manual de instrucciones de buzón como un señuelo, mientras que un troyano malicioso está instalado sigilosamente en el host de Windows para recopilar y exfiltrar información del sistema a un servidor C2 y recibir cargas útiles de próxima etapa desconocidas.
La compañía china de ciberseguridad dijo que APT-Q-14 también se centra en las vulnerabilidades de día cero en el software de correo electrónico para la plataforma Android.
APT-Q-14 ha sido descrito por Qianxin como originario del noreste de Asia y que se superponen con otros grupos denominados APT-Q-12 (también conocidos como Pseudo Hunter) y Apt-Q-15, que se evalúan como subgrupos dentro de un grupo de amenazas alineado en Corea del Sur conocido como Darkhotel (AKA Apt-C-06).
A principios de esta semana, el Centro de Inteligencia 360 de Amenazos con sede en Beijing reveló el uso de Darkhotel de Darkhotel de la técnica de traer su propio controlador vulnerable (BYOVD) para terminar el antivirus del defensor de Microsoft y desplegar malware como parte de un ataque de phishing que entregó paquetes de instalación falsos de MSI en febrero de 2025.
El malware está diseñado para establecer la comunicación con un servidor remoto para descargar, descifrar y ejecutar ShellCode no especificado.
«En general, las tácticas (del grupo de piratería) han tendido a ser» simples «en los últimos años: diferente del uso previo de vulnerabilidades de peso pesado, ha adoptado métodos de entrega y técnicas de ataque flexibles y novedosas», dijo la compañía. «En términos de objetivos de ataque, APT-C-06 todavía se centra en los comerciantes relacionados con Corea del Norte, y el número de objetivos atacados en el mismo período es mayor».