Los actores de amenazas aprovecharon un servidor de actualizaciones abandonado asociado al software editor de métodos de entrada (IME) Sogou Zhuyin como parte de una campaña de espionaje para lanzar varias familias de malware, incluidas C6DOOR y GTELAM, en ataques dirigidos principalmente a usuarios de Asia Oriental.

«Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas de inicio de sesión o almacenamiento en la nube falsas, para distribuir malware y recopilar información confidencial», dijeron Nick Dai y Pierre Lee, investigadores de Trend Micro dijo en un informe exhaustivo.

La campaña, identificada en junio de 2025, ha recibido el nombre en código DIENTE de la empresa de ciberseguridad. Los objetivos de la actividad incluyen principalmente a disidentes, periodistas, investigadores y líderes tecnológicos y empresariales de China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwanesas en el extranjero. Taiwán representa el 49% de todos los objetivos, seguido de Camboya (11%) y Estados Unidos (7%).

Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («sogouzhuyin [.] com») asociado a Sogou Zhuyin, un servicio IME legítimo que dejó de recibir actualizaciones en junio de 2019, para difundir cargas maliciosas un mes después. Se estima que varios cientos de víctimas se vieron afectadas.

«El atacante se hizo cargo del servidor de actualizaciones abandonado y, tras registrarlo, utilizó el dominio para alojar actualizaciones maliciosas desde octubre de 2024", dijeron los investigadores. «A través de este canal, se han desplegado varias familias de malware, incluidas GTELAM, C6DOOR, DESFY y TOSHIS».

Las familias de malware implementadas tienen diferentes propósitos, incluido el acceso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para evitar ser detectados, los atacantes también utilizaron los servicios en la nube de terceros para ocultar sus actividades de red a lo largo de la cadena de ataque.

Estas cepas de malware permiten el acceso remoto, el robo de información y la funcionalidad de puerta trasera, y los atacantes también utilizan servicios legítimos de almacenamiento en la nube, como Google Drive, como punto de exfiltración de datos y para ocultar el tráfico de red malicioso.

La cadena de ataque comienza cuando usuarios desprevenidos descargan de Internet el instalador oficial de Sogou Zhuyin, como el Entrada de página de Wikipedia en chino tradicional para Sogou Zhuyin, que, en marzo de 2025, se modificó para dirigir a los usuarios al dominio malicioso dl [.] sogouzhuyin [.] com.

Si bien el instalador es completamente inocuo, la actividad maliciosa se activa cuando se activa el proceso de actualización automática un par de horas después de la instalación, lo que hace que el archivo binario del actualizador, "ZhuyinUp.exe», obtenga un archivo de configuración de actualización desde una URL incrustada: «srv-pc.sogouzhuyin [.] com/v1/upgrade/version».

Es este proceso de actualización el que se ha manipulado en DESFY, GTELAM, C6DOOR y TOSHIS con el objetivo final de crear perfiles y recopilar datos de objetivos de alto valor -

  • A SUS (Detectado por primera vez en diciembre de 2024), un cargador diseñado para obtener cargas útiles de la siguiente etapa (Cobalt Strike o Merlin Agent for Mythic Framework) desde un servidor externo. También es una variante de Xiang-op , que se ha atribuido a Tropic Trooper y se ha utilizado para entregar Cobalt Strike o una puerta trasera llamada EntryShell en el pasado.
  • DESAFIAR (Detectado por primera vez en mayo de 2025), un software espía que recopila nombres de archivos de dos ubicaciones: archivos de escritorio y archivos de programa
  • GTELAM (Detectado por primera vez en mayo de 2025), otro software espía que recopila nombres de archivos que coinciden con un conjunto específico de extensiones (PDF, DOC, DOCX, XLS, XLSX, PPT y PPTX) y filtra los detalles a Google Drive
  • PUERTA C6 , una puerta trasera personalizada basada en Go que utiliza los protocolos HTTP y WebSocket para el comando y el control a fin de recibir instrucciones para recopilar información del sistema, ejecutar comandos arbitrarios, realizar operaciones con archivos, cargar/descargar archivos, capturar capturas de pantalla, enumerar procesos en ejecución, enumerar directorios e insertar código de shell en un proceso específico

Un análisis más detallado de C6DOOR ha descubierto la presencia de caracteres chinos simplificados incrustados en la muestra, lo que sugiere que el actor de la amenaza detrás del artefacto podría dominar el chino.

«Parece que el atacante aún estaba en la fase de reconocimiento, buscando principalmente objetivos de alto valor», dijo Trend Micro. «Como resultado, no se observaron más actividades posteriores a la explotación en la mayoría de los sistemas víctimas. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando Visual Studio Code».

Curiosamente, hay pruebas de que TOSHIS también se distribuyó entre objetivos mediante un sitio web de suplantación de identidad, probablemente en relación con una campaña de spear-phising dirigida a Asia Oriental y, en menor medida, a Noruega y los EE. UU. También se ha observado que los ataques de suplantación de identidad adoptan un enfoque doble:

  • publicar páginas de inicio de sesión falsas con señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan el consentimiento de OAuth a aplicaciones controladas por atacantes, o
  • Servir páginas falsas de almacenamiento en la nube que imitan a Tencent Cloud StreamLink para descargar archivos ZIP maliciosos que contienen TOSHIS

Estos correos electrónicos de suplantación de identidad incluyen una URL con trampa explosiva y un documento señuelo que engaña al destinatario para que interactúe con el contenido malintencionado y, en última instancia, activa una secuencia de ataque en varias etapas diseñada para eliminar TOSHIS mediante la carga lateral de DLL u obtener acceso y control no autorizados sobre sus buzones de Google o Microsoft a través de una solicitud de permiso de OAuth.

Trend Micro dijo que el TAOTH comparte infraestructura y herramientas que se superponen con previamente documentado actividad de amenazas de ITOCHU, que pinta el panorama de un actor de amenazas persistentes con un enfoque en el reconocimiento, el espionaje y el abuso del correo electrónico.

Para combatir estas amenazas, se recomienda a las organizaciones que auditen de forma rutinaria sus entornos para detectar cualquier software de fin de soporte y que eliminen o reemplacen dichas aplicaciones de inmediato. Se insta a los usuarios a revisar los permisos que solicitan las aplicaciones en la nube antes de conceder el acceso.

«En la operación Sogou Zhuyin, el actor de la amenaza mantuvo un perfil bajo y realizó un reconocimiento para identificar objetivos valiosos entre las víctimas», dijo la empresa. «Mientras tanto, durante las operaciones de spear-suplantación de identidad en curso, el atacante distribuyó correos electrónicos malintencionados entre los objetivos para su posterior explotación».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.