El actor de amenazas UAT-10027 utiliza un implante inédito que evade la detección mediante DNS-over-HTTPS (DoH) y DLL side-loading. La campaña, activa desde diciembre de 2025, se enfoca en comprometer infraestructura crítica, con un vector de entrada inicial probablemente basado en phishing.
El grupo de ciberdelincuentes rastreado como UAT-10027 está llevando a cabo una campaña maliciosa activa desde al menos diciembre de 2025, dirigida a organizaciones de los sectores de educación y salud en Estados Unidos. El ataque utiliza un backdoor previamente no documentado, bautizado como 'Dohdoor', diseñado para evadir defensas y establecer un punto de apoyo persistente en las redes de sus víctimas, con un probable objetivo de lucro financiero.
El informe técnico de Cisco Talos detalla una cadena de infección de múltiples etapas que demuestra un alto grado de sofisticación. El vector de acceso inicial se sospecha que es el phishing, que conduce a la ejecución de un script de PowerShell. Este script descarga y ejecuta un archivo por lotes de Windows desde un servidor de preparación remoto. Posteriormente, este script facilita la descarga de una biblioteca de enlace dinámico (DLL) maliciosa, disfrazada con nombres de archivos legítimos de Windows como "propsys.dll" o "batmeter.dll", y la ejecuta mediante la técnica de DLL side-loading, utilizando ejecutables legítimos del sistema como "Fondue.exe" o "mblctr.exe".
La principal innovación de Dohdoor reside en su mecanismo de comunicación con el servidor de comando y control (C2). El backdoor utiliza DNS-over-HTTPS (DoH) para resolver los dominios de C2 a través del servicio de DNS de Cloudflare. Esto le permite establecer un túnel HTTPS que enmascara el tráfico malicioso como comunicaciones legítimas hacia la infraestructura de confianza de Cloudflare, eludiendo así sistemas de detección basados en DNS y herramientas de análisis de tráfico de red que buscan búsquedas de dominios sospechosos. Para reforzar el sigilo, los atacantes utilizan subdominios como “MswInSofTUpDloAd” que imitan actualizaciones legítimas de software.
Una vez activo, Dohdoor crea un acceso trasero al entorno de la víctima, permitiendo al actor de amenazas descargar cargas útiles adicionales directamente en la memoria de la máquina. Los investigadores de Talos sugieren que el siguiente paso es la ejecución reflectiva de un beacon de Cobalt Strike dentro de procesos legítimos de Windows, una táctica común para el movimiento lateral y la exfiltración de datos. Además, el malware emplea técnicas de "unhooking" de NTDLL para evitar ser detectado por soluciones EDR que monitorean las llamadas a la API de Windows.
Aunque Cisco Talos asigna una "baja confianza" a la atribución directa, los investigadores señalan similitudes tácticas entre Dohdoor y LazarLoader, una herramienta previamente asociada con el notorio Grupo Lazarus de Corea del Norte. Más importante aún, el enfoque en el sector de la salud resuena con actividades pasadas de actores norcoreanos. Como se detalla en avisos de agencias como CISA, grupos patrocinados por este estado han utilizado ransomware como Maui específicamente para paralizar servicios de salud. La sofisticación de la campaña UAT-10027 subraya la necesidad de que las organizaciones de salud y educación en América Latina, que enfrentan amenazas similares, refuercen sus defensas más allá del perímetro tradicional.
FUENTE ORIGINAL
Cisco Talos↗CURADO POR
Alejandro Vargas