El grupo de amenazas persistentes avanzadas (APT) vinculado a China conocido como APT 31 se ha atribuido a los ciberataques dirigidos contra el sector de la tecnología de la información (TI) ruso entre 2024 y 2025, sin ser detectados durante largos períodos de tiempo.
«En el período comprendido entre 2024 y 2025, el sector de TI ruso, especialmente las empresas que trabajan como contratistas e integradoras de soluciones para agencias gubernamentales, se enfrentó a una serie de ataques informáticos selectivos», dijeron los investigadores de Positive Technologies Daniil Grigoryan y Varvara Koloskova dijo en un informe técnico.
Se ha determinado que el APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (anteriormente Zirconium), está activo al menos desde 2010. Tiene un historial de éxitos en una amplia gama de sectores, incluidos los gobiernos, el financiero, el aeroespacial y de defensa, la alta tecnología, la construcción y la ingeniería, las telecomunicaciones, los medios de comunicación y los seguros.
El grupo de ciberespionaje se centra principalmente en recopilar información de inteligencia que pueda proporcionar a Beijing y a las empresas estatales ventajas políticas, económicas y militares. En mayo de 2025, el equipo de piratas informáticos estaba culpado por parte de la República Checa por atacar a su Ministerio de Relaciones Exteriores.
Los ataques dirigidos a Rusia se caracterizan por el uso de servicios en la nube legítimos, principalmente los que prevalecen en el país, como Yandex Cloud, para el mando y el control (C2) y la exfiltración de datos en un intento de mezclarse con el tráfico normal y escapar de la detección.
También se dice que el adversario utilizó comandos y cargas cifrados en los perfiles de las redes sociales, tanto nacionales como extranjeras, y también llevó a cabo sus ataques durante los fines de semana y días festivos. En al menos un ataque dirigido contra una empresa de TI, APT31 irrumpió en su red ya a finales de 2022, antes de intensificar la actividad coincidiendo con las vacaciones de Año Nuevo de 2023.
En otra intrusión detectada en diciembre de 2024, los atacantes enviaron un correo electrónico de spear-phising que contenía un archivo RAR que, a su vez, incluía un acceso directo de Windows (LNK) responsable de lanzar un cargador de Cobalt Strike denominado CloudyLoader mediante la carga lateral de DLL. Los detalles de esta actividad fueron previamente documentado de Kaspersky en julio de 2025, al tiempo que identificaba algunas superposiciones con un clúster de amenazas conocido como Viento del Este .
La empresa rusa de ciberseguridad también dijo que había identificado un cebo para archivar archivos ZIP que se hacía pasar por un informe del Ministerio de Relaciones Exteriores de Perú para, en última instancia, implementar CloudyLoader.
Para facilitar las etapas posteriores del ciclo de ataque, APT31 ha aprovechado un amplio conjunto de herramientas personalizadas y disponibles públicamente. La persistencia se logra mediante la configuración de tareas programadas que imitan las de aplicaciones legítimas, como Yandex Disk y Google Chrome. Algunos de ellos se enumeran a continuación:
- IP de usuario de Sharpad , una utilidad de C# para el reconocimiento y el descubrimiento
- SharpChrome.exe , para extraer contraseñas y cookies de los navegadores Google Chrome y Microsoft Edge
- SharpDir , para buscar archivos
- StickyNotesExtract.exe , para extraer datos de la base de datos de notas adhesivas de Windows
- VPN a gran escala, para crear un túnel cifrado y configurar una red de igual a igual (P2P) entre el host comprometido y su infraestructura
- Túneles de desarrollo de Microsoft , al tráfico de túneles
- Owawa , un módulo IIS malintencionado para el robo de credenciales
- AufTime, un backdoor de Linux que usa la biblioteca WolfSSL para comunicarse con C2
- CoffProxy, una puerta trasera de Golang que admite comandos para tunelizar el tráfico, ejecutar comandos, administrar archivos y entregar cargas útiles adicionales
- VTChatter, una herramienta que usa comentarios codificados en Base64 para archivo de texto alojado en VirusTotal como canal C2 bidireccional cada dos horas
- OneDriveDoor, una puerta trasera que usa Microsoft OneDrive como C2
- Enchufe local X , una variante de Enchufe X que se usa para propagarse dentro de la red local, en lugar de comunicarse con C2
- Brujo de las nubes , una puerta trasera que utilizaba servicios en la nube como C2
- YaLeak, una herramienta de.NET para subir información a Yandex Cloud
«APT31 repone constantemente su arsenal, aunque siguen utilizando algunas de sus antiguas herramientas», afirma Positive Technologies. «Como C2, los atacantes utilizan activamente los servicios en la nube, en particular los servicios de Yandex y Microsoft OneDrive. Muchas herramientas también están configuradas para funcionar en modo servidor, esperando a que los atacantes se conecten a un host infectado».
«Además, la agrupación filtra los datos a través del almacenamiento en la nube de Yandex. Estas herramientas y técnicas permitieron que el APT31 pasara desapercibido en la infraestructura de las víctimas durante años. Al mismo tiempo, los atacantes descargaron archivos y recopilaron información confidencial de los dispositivos, incluidas las contraseñas de los buzones de correo y los servicios internos de las víctimas».