Un grupo de actividades de amenazas previamente indocumentado se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de la educación y la salud en los EE. UU. desde al menos diciembre de 2025.

La campaña está siendo rastreada por Cisco Talos bajo el nombre UAT-10027 . El objetivo final de los ataques es lanzar una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para las comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otros archivos binarios de carga útil de forma reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad dijo en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de suplantación de identidad por ingeniería social, lo que llevó a la ejecución de un script de PowerShell.

adsense

A continuación, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de almacenamiento remoto, lo que, por su parte, facilita la descarga de una biblioteca de enlaces dinámicos (DLL) maliciosa de Windows denominada "propsys.dll" o «batmeter.dll».»

La carga útil de la DLL, es decir, Dohdoor, se lanza mediante un ejecutable legítimo de Windows (por ejemplo, "Fondue.exe», "mblctr.exe» y "ScreenClippingHost.exe «) mediante una técnica denominada Carga lateral de DLL . El acceso por la puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, garantizando que toda la comunicación saliente de la máquina víctima aparezca como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados en el DNS, los sumideros del DNS y las herramientas de análisis del tráfico de red que supervisan las búsquedas de dominios sospechosas, lo que garantiza que las comunicaciones C2 del malware permanezcan ocultas en la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para eludir las soluciones de detección y respuesta de puntos finales (EDR) que supervisan las llamadas a la API de Windows a través de ganchos en modo usuario en NTDLL.dll .

Actualmente no hay claridad sobre quién está detrás del UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Cargador Lazar , un descargador identificado anteriormente como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

enlaces

«Si bien el malware del UAT-10027 comparte superposiciones técnicas con el del Grupo Lazarus, el enfoque de la campaña en los sectores de la educación y la salud se desvía del perfil típico de Lazarus de ataques con criptomonedas y defensa», concluyó Talos.

«Sin embargo, [...] Los actores norcoreanos de APT se han centrado en el sector de la salud utilizando Ransomware Maui , y otro grupo APT norcoreano, Kimsuky , se ha centrado en el sector educativo , destacando las superposiciones en la victimología del UAT-10027 con la de otras APT norcoreanas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.