Un actor de amenazas del nexo entre China conocido como APT 24 se ha observado el uso de un malware previamente indocumentado denominado BADAUDIO para establecer un acceso remoto persistente a redes comprometidas como parte de una campaña de casi tres años.
«Si bien las operaciones anteriores se basaban en amplias concesiones estratégicas de la web para comprometer los sitios web legítimos, APT24 ha optado recientemente por utilizar vectores más sofisticados dirigidos a las organizaciones de Taiwán», dijeron Harsh Parashar, Tierra Duncan y Dan Perez, investigadores del Grupo de Inteligencia de Amenazas de Google (GTIG) dijo .
«Esto incluye el compromiso reiterado de una empresa regional de marketing digital para ejecutar ataques a la cadena de suministro y el uso de campañas de suplantación de identidad específicas».
APT24, también llamado Pitty Tiger, es el apodo asignado a un presunto grupo de hackers chinos que ha atacado a los sectores del gobierno, la salud, la construcción y la ingeniería, la minería, las organizaciones sin fines de lucro y las telecomunicaciones en EE. UU. y Taiwán.
Según un informe de julio de 2014 de FireEye, el adversario es creído estará activo ya en 2008, ya que los ataques aprovecharon el envío de correos electrónicos para engañar a los destinatarios para que abrieran documentos de Microsoft Office y, a su vez, aprovechan las fallas de seguridad conocidas del software (p. ej., CVE-2012-0158 y CVE-2014-1761 ) para infectar los sistemas con malware.
Algunas de las familias de malware asociadas a APT24 incluyen CT RAT, una variante de Descargador de Enfal/Lurid llamado MM RAT (también conocido como Goldsun-B) y variantes de Gh0st RAT conocidas como Paladin RAT y Leo RAT. Otro malware notable utilizado por el actor de amenazas es un backdoor llamado Taidoor (también conocido como Roudan).
Se considera que APT24 está estrechamente relacionado con otro grupo de amenazas persistentes avanzadas (APT) llamado Earth Aughisky, que también ha desplegado Taidoor en sus campañas y ha aprovechado la infraestructura que anteriormente se atribuía a APT24 como parte de los ataques que distribuían otro backdoor denominado Specas.
Ambas cepas de malware, por Informe de octubre de 2022 de Trend Micro, están diseñados para leer la configuración del proxy de un archivo específico «%systemroot%\\ system32\\ sprxx.dll».
Los últimos hallazgos de GTIG muestran que la campaña BADAUDIO ha estado en marcha desde noviembre de 2022, y los atacantes utilizan pozos de agua, compromisos en la cadena de suministro y spear-phishing como vectores de acceso iniciales.
BADAUDIO, un malware altamente ofuscado escrito en C++, usa controlar el aplanamiento del flujo para resistirse a la ingeniería inversa y actúa como un descargador de primera etapa capaz de descargar, descifrar y ejecutar una carga útil cifrada con AES desde un servidor de comando y control (C2) codificado de forma rígida. Su función es recopilar y transferir la información básica del sistema al servidor, que responde con la carga útil que se ejecutará en el servidor. En un caso, se trataba de un Cobalt Strike Beacon.
«BADAUDIO normalmente se manifiesta como una biblioteca de enlaces dinámicos (DLL) maliciosa que aprovecha el secuestro de órdenes de búsqueda de DLL (MITRE ATT&CK T1574.001) para ejecutarse a través de aplicaciones legítimas», afirma GTIG. «Las variantes observadas recientemente indican una cadena de ejecución refinada: archivos cifrados que contienen archivos DLL de audio incorrectos junto con archivos VBS, BAT y LNK».
Se estima que desde noviembre de 2022 hasta principios de septiembre de 2025, APT24 puso en peligro más de 20 sitios web legítimos al inyectar código JavaScript malintencionado para excluir específicamente a los visitantes procedentes de macOS, iOS y Android, generar una huella digital de navegador única utilizando la biblioteca FingerprintJS y mostrarles una ventana emergente falsa instándolos a descargar BADAUDIO con el pretexto de una actualización de Google Chrome.
Luego, a partir de julio de 2024, el grupo de hackers irrumpió en una empresa regional de marketing digital en Taiwán para organizar un ataque a la cadena de suministro mediante la inyección de JavaScript malicioso en una biblioteca de JavaScript ampliamente utilizada que la empresa distribuía, lo que le permitió secuestrar más de 1000 dominios.
El script de terceros modificado está configurado para llegar a un dominio con errores tipográficos que se hace pasar por una red de entrega de contenido (CDN) legítima y buscar el JavaScript controlado por el atacante para tomar las huellas dactilares de la máquina y, a continuación, mostrar la ventana emergente para descargar BADAUDIO tras la validación.
«El compromiso de junio de 2025 inicialmente empleó la carga condicional de scripts basada en un ID web único (el nombre de dominio específico) relacionado con el sitio web que utilizaba los scripts de terceros comprometidos», afirma Google. «Esto sugiere una segmentación personalizada, que limita el compromiso estratégico de la web (MITRE ATT&CK T1189) a un solo dominio».
«Sin embargo, durante un período de diez días en agosto, las condiciones se levantaron temporalmente, lo que permitió comprometer los 1000 dominios que utilizaban los scripts antes de que se volviera a imponer la restricción original».
También se ha observado que APT24 lleva a cabo ataques de suplantación de identidad selectivos desde agosto de 2024, utilizando señuelos relacionados con una organización de rescate de animales para engañar a los destinatarios para que respondan y, en última instancia, entregar BADAUDIO a través de archivos cifrados alojados en Google Drive y Microsoft OneDrive. Estos mensajes vienen equipados con píxeles de seguimiento para confirmar si los destinatarios han abierto los correos electrónicos y adaptar sus esfuerzos en consecuencia.
«El uso de técnicas avanzadas, como el compromiso de la cadena de suministro, la ingeniería social de varios niveles y el abuso de servicios legítimos en la nube, demuestra la capacidad del actor para el espionaje persistente y adaptativo», afirma Google.
El grupo APT China-Nexus apunta al sudeste asiático
La revelación se produce como CyberArmor detallada una campaña de espionaje sostenida orquestada por un supuesto actor de amenazas relacionado con China contra el gobierno, los medios de comunicación y los sectores noticiosos en Laos, Camboya, Singapur, Filipinas e Indonesia. La actividad ha recibido el nombre en clave Dragón de otoño .
La cadena de ataque comienza con un archivo RAR que probablemente se envía como archivo adjunto en los mensajes de spear-phising que, al extraerse, aprovecha una falla de seguridad de WinRAR ( CVE-2025-8088 , puntuación CVSS: 8,8) para lanzar un script por lotes («Windows Defender Definition Update.cmd») que configura la persistencia para garantizar que el malware se inicie automáticamente cuando el usuario inicie sesión en el sistema la próxima vez.
También descarga un segundo archivo RAR alojado en Dropbox a través de PowerShell. El archivo RAR contiene dos archivos: un ejecutable legítimo (» obs-browser-page.exe «) y un archivo DLL malintencionado (» libcef.dll «). A continuación, el script por lotes ejecuta el archivo binario para descargar la DLL, que se comunica con el autor de la amenaza a través de Telegram para obtener comandos («shell»), capturar capturas de pantalla («captura de pantalla») y soltar cargas adicionales («cargar»).
«El controlador del bot (actor de amenazas) usa estos tres comandos para recopilar información y realizar un reconocimiento del ordenador de la víctima y desplegar malware de tercera etapa», dijeron los investigadores de seguridad Nguyen Nguyen y BartBlaze. «Este diseño permite que el controlador permanezca sigiloso y evite ser detectado».
La tercera etapa implica una vez más el uso de la carga lateral de DLL para lanzar una DLL falsa (» CRClient.dll «) mediante el uso de un binario real («Creative Cloud Helper.exe»), que luego descifra y ejecuta el shellcode responsable de cargar y ejecutar la carga útil final, un implante ligero escrito en C++ que puede comunicarse con un servidor remoto («public.megadatacloud [.] com») y admite ocho comandos diferentes:
- 65, para ejecutar un comando específico con "cmd.exe», recopilar el resultado y volver a filtrarlo al servidor C2
- 66, para cargar y ejecutar una DLL
- 67, para ejecutar shellcode
- 68, para actualizar la configuración
- 70, para leer un archivo suministrado por el operador
- 71, para abrir un archivo y escribir el contenido suministrado por el operador
- 72, para obtener/configurar el directorio actual
- 73, para dormir durante un intervalo aleatorio y terminar
Si bien la actividad no ha estado vinculada a un actor o grupo de amenazas específico, es posible que sea obra de un grupo del nexo con China que posee capacidades operativas intermedias. Esta evaluación se basa en el hecho de que el adversario sigue atacando a los países vecinos el Mar de China Meridional .
«La campaña de ataque está dirigida», dijeron los investigadores. «A lo largo de nuestros análisis, observamos con frecuencia que las siguientes etapas se alojaban detrás de Cloudflare, con las restricciones geográficas activadas, así como otras restricciones, como permitir solo agentes de usuario HTTP específicos».