El grupo de actividad de amenazas conocido como Booker no solicitado Se ha observado ataques dirigidos a empresas de telecomunicaciones en Kirguistán y Tayikistán, lo que marca un cambio con respecto a ataques anteriores dirigidos a entidades de Arabia Saudita.
Los ataques implican el despliegue de dos puertas traseras distintas con nombres en código LuciDoor y MarsSnake, según un informe publicado por Positive Technologies la semana pasada.
«El grupo utilizó varios instrumentos únicos y raros de origen chino», dijeron los investigadores Alexander Badaev y Maxim Shamanov.
UnsolicitedBooker fue documentado por primera vez por ESET en mayo de 2025, atribuyendo al actor de amenazas alineado con China a un ciberataque dirigido a una organización internacional anónima en Arabia Saudita con una puerta trasera denominada MarsSnake. Se estima que el grupo está activo desde al menos marzo de 2023 y tiene un historial de atacar organizaciones en Asia, África y Medio Oriente.
Un análisis más detallado del actor de amenazas ha descubierto superposiciones tácticas con otros dos grupos, incluidos los Piratas Espaciales y una campaña aún no atribuida dirigida a Arabia Saudita con otra puerta trasera conocida como Zardoor.
Se descubrió que el último conjunto de ataques documentados por el proveedor ruso de ciberseguridad se dirigió a organizaciones kirguisas a finales de septiembre de 2025 con correos electrónicos de phishing que contenían un documento de Microsoft Office que, cuando se abre, indica a los destinatarios que «habiliten contenido» para ejecutar una macro maliciosa.
Mientras el documento muestra a la víctima el plan de tarifas de un proveedor de telecomunicaciones, la macro lanza sigilosamente un cargador de malware C++ llamado LuciLoad que, a su vez, entrega LuciDoor. Otro ataque observado a finales de noviembre de 2025 adoptó el mismo modus operandi, solo que esta vez utilizó un cargador diferente con nombre en código MarsSnakeLoader para implementar MarsSnake.
En enero de 2026, se dice que UnsolicitedBooker aprovechó los correos electrónicos de phishing como vector para dirigirse a empresas en Tayikistán. Si bien la cadena de ataque general sigue siendo la misma, los mensajes incluyen enlaces a los documentos señuelo en lugar de adjuntarlos directamente.
Escrito en C++, LuciDoor establece comunicación con un servidor de comando y control (C2), recopila información básica del sistema y filtra los datos al servidor en formato cifrado. Luego analiza las respuestas enviadas por el servidor para ejecutar comandos usando cmd.exe, escribir archivos en el sistema y cargar archivos.
MarsSnake, de manera similar, permite a los atacantes recopilar metadatos del sistema, ejecutar comandos arbitrarios y leer o escribir cualquier archivo en el disco.
Positive Technologies dijo que también encontró signos de que MarsSnake se utilizó en ataques dirigidos a China. El punto de partida es un acceso directo de Windows que se hace pasar por un documento de Microsoft Word (*.doc.lnk) que desencadena la ejecución de un script por lotes para iniciar un script de Visual Basic, que luego inicia MarsSnake sin el componente del cargador.
Se cree que el archivo señuelo se basa en un archivo LNK asociado con una herramienta de pentesting disponible públicamente llamada FTPlnk_phishing, debido al tiempo de creación del archivo LNK y a los indicadores de ID de máquina idénticos. Vale la pena señalar que el grupo Mustang Panda utilizó un archivo LNK similar en ataques dirigidos a Tailandia en 2022.
«En sus ataques, el grupo utilizó herramientas raras de origen chino», dijo Positive Technologies. «Curiosamente, al principio, el grupo usó una puerta trasera que llamamos LuciDoor, pero luego cambió a la puerta trasera MarsSnake. Sin embargo, en 2026, el grupo dio un giro de 180 grados y reanudó el uso de LuciDoor».
«Además, en al menos un caso, observamos a los atacantes utilizando un enrutador pirateado como servidor C2, y su infraestructura imitó la de Rusia en algunos ataques».
PseudoSticky y Cloud Atlas apuntan a Rusia
La divulgación se produce cuando un actor de amenazas previamente desconocido está imitando deliberadamente las tácticas de un grupo de hackers proucraniano llamado Sticky Werewolf (también conocido como Angry Likho, MimiStick y PhaseShifters) para atacar a organizaciones rusas en los sectores minorista, de construcción y de investigación con malware como RemcosRAT y DarkTrack RAT para el robo integral de datos y el control remoto.
El nuevo grupo, denominado PseudoSticky, ha estado activo desde noviembre de 2025. Las víctimas suelen ser infectadas mediante correos electrónicos de phishing que contienen archivos adjuntos maliciosos que conducen a la implementación de troyanos. Hay indicios de que el actor de amenazas se ha basado en grandes modelos de lenguaje (LLM) para desarrollar cadenas de ataque que eliminan DarkTrack RAT a través de PureCrypter.
«Un análisis más detallado revela diferencias en la infraestructura, la implementación de malware y los elementos tácticos individuales, lo que nos lleva a sospechar que probablemente no existe una conexión directa entre los grupos, sino más bien una imitación deliberada», dijo el proveedor de seguridad ruso F6.
Las entidades rusas también han sido atacadas por otro grupo de hackers llamado Cloud Atlas, que utiliza correos electrónicos de phishing con documentos de Word maliciosos para distribuir malware personalizado conocido como VBShower y VBCloud.
«Cuando se abre, el documento malicioso carga una plantilla remota desde C2 especificada en una de las secuencias del documento», dijo la empresa de ciberseguridad Solar. «Esta plantilla explota la vulnerabilidad CVE-2018-0802. A esto le sigue la descarga de un archivo malicioso con flujos alternativos, es decir, VBShower».