El clúster de actividad de amenazas conocido como Booker no solicitado se ha observado que empresas de telecomunicaciones atacan a empresas de telecomunicaciones en Kirguistán y Tayikistán, lo que supone un cambio con respecto a los ataques anteriores dirigidos contra entidades de Arabia Saudita.
Los ataques implican el despliegue de dos puertas traseras distintas con nombres en código LuciDoor y MarsSnake, según un informe publicado por Positive Technologies la semana pasada.
«El grupo utilizó varios instrumentos únicos y raros de origen chino», dijeron los investigadores Alexander Badaev y Maxim Shamanov dijo .
Booker no solicitado fue primera documentación de ESET en mayo de 2025, atribuyendo al actor de amenazas alineado con China a un ciberataque dirigido a una organización internacional anónima en Arabia Saudí con una puerta trasera denominada MarsSnake. Se estima que el grupo lleva activo al menos desde marzo de 2023 y tiene antecedentes de atacar a organizaciones de Asia, África y Oriente Medio.
Un análisis más detallado del actor de la amenaza ha descubierto superposiciones tácticas con otros dos grupos, incluidos los Piratas del Espacio y una campaña aún sin atribuir dirigida a Arabia Saudí con otra puerta trasera denominada Zardoor.
adsenseSe descubrió que la última serie de ataques documentados por el proveedor ruso de ciberseguridad tenía como objetivo a organizaciones kirguisas a finales de septiembre de 2025 con correos electrónicos de suplantación de identidad que contenían un documento de Microsoft Office que, al abrirlo, indicaba a los destinatarios que:» Habilitar contenido «para ejecutar una macro maliciosa.
Si bien el documento muestra a la víctima el plan tarifario de un proveedor de telecomunicaciones, la macro deja caer sigilosamente un cargador de malware de C++ llamado LuciLoad que, a su vez, entrega LuciDoor. Otro ataque registrado a finales de noviembre de 2025 adoptó el mismo modus operandi, solo que esta vez utilizó un cargador diferente, con el nombre en código MarsSnakeLoader, para desplegar MarsSnake.
En enero de 2026, se dice que UnsolicitedBooker utilizó los correos electrónicos de suplantación de identidad como vector para atacar a las empresas de Tayikistán. Si bien la cadena general de ataques sigue siendo la misma, los mensajes incorporaban enlaces a los documentos engañosos en lugar de adjuntarlos directamente.
Escrito en C++, LuciDoor establece la comunicación con un servidor de comando y control (C2), recopila información básica del sistema y exfiltra los datos al servidor en formato cifrado. A continuación, analiza las respuestas enviadas por el servidor para ejecutar comandos con cmd.exe, escribir archivos en el sistema y cargar archivos.
MarsSnake, del mismo modo, permite a los atacantes recopilar metadatos del sistema, ejecutar comandos arbitrarios y leer o escribir cualquier archivo en el disco.
Positive Technologies dijo que también encontró indicios de que MarsSnake había sido utilizado en ataques contra China. El punto de partida es un acceso directo de Windows que se hace pasar por un documento de Microsoft Word (*.doc.lnk) y desencadena la ejecución de un script por lotes para lanzar un script de Visual Basic, que luego lanza MarsSnake sin el componente de carga.
Se cree que el archivo señuelo se basa en un archivo LNK asociado a una herramienta de prueba previa disponible al público llamada FTPLNK_Suplantación de identidad , debido a que el tiempo de creación del archivo LNK y los indicadores de ID de máquina son idénticos. Vale la pena señalar que un archivo LNK similar fue puesto en uso por el Grupo Mustang Panda en ataques contra Tailandia en 2022.
«En sus ataques, el grupo utilizó herramientas poco comunes de origen chino», dijo Positive Technologies. «Curiosamente, al principio, el grupo usó una puerta trasera que denominamos LuciDoor, pero luego la cambiaron a la puerta trasera MarsSnake. Sin embargo, en 2026, el grupo dio un giro de 180 grados y volvió a usar LuciDoor».
«Además, en al menos un caso, observamos que los atacantes utilizaban un router pirateado como servidor C2, y su infraestructura imitaba a la de Rusia en algunos ataques».
PseudoSticky y Cloud Atlas apuntan a Rusia
La revelación se produce cuando un actor de amenazas previamente desconocido está imitando deliberadamente las tácticas de un grupo de hackers proucraniano llamado Hombre lobo pegajoso (también conocidos como Angry Likho, MimiStick y PhaseShifters) para atacar a las organizaciones rusas de los sectores minorista, de la construcción y de la investigación con malware como RemCosrat y DarkTrack RAT para el robo integral de datos y el control remoto.
El nuevo grupo, denominado Seudopegajoso , ha estado activo desde noviembre de 2025. Las víctimas suelen infectarse mediante correos electrónicos de suplantación de identidad que contienen archivos adjuntos malintencionados que conducen al despliegue de los troyanos. Hay indicios de que el autor de la amenaza se ha basado en modelos lingüísticos extensos (LLM) para desarrollar cadenas de ataque que lanzan DarkTrack RAT a través de PureCrypter.
enlaces«Un análisis más detallado revela diferencias en la infraestructura, la implementación del malware y los elementos tácticos individuales, lo que nos lleva a sospechar que es probable que no haya una conexión directa entre los grupos, sino más bien una imitación deliberada», dijo el proveedor de seguridad ruso F6.
Las entidades rusas también han sido atacadas por otro grupo de hackers llamado Atlas de nubes , utilizando correos electrónicos de suplantación de identidad con documentos de Word maliciosos para distribuir un malware personalizado conocido como VBShower y VBCloud .
«Cuando se abre, el documento malicioso carga una plantilla remota de C2 especificada en uno de los flujos del documento», dijo la empresa de ciberseguridad Solar dijo . «Esta plantilla aprovecha la vulnerabilidad CVE-2018-0802. A esto le sigue la descarga de un archivo malicioso con transmisiones alternativas, por ejemplo, VBShower».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS