Los investigadores de ciberseguridad han detallado una nueva campaña doblada Disculpa Eso aprovecha la tecnología de implementación de software Clickonce de Microsoft y las puertas traseras de Golang a medida para comprometer a las organizaciones en el interior de los sectores de energía, petróleo y gas.
«La campaña exhibe características alineadas con los actores de amenaza afiliados a los chinos, aunque la atribución sigue siendo cautelosa», dijeron los investigadores de Trellix Nico Paulo Yturriaga y Pham Duy Phuc en una redacción técnica.
«Sus métodos reflejan un cambio más amplio en torno a las tácticas de ‘vida-off-the-land’, combinando operaciones maliciosas en el interior de las herramientas de nubes y empresas para eludir los mecanismos de detección tradicionales».
Los ataques de phishing, en pocas palabras, utilizan un cargador basado en .NET llamado OneCliknet para implementar una sofisticada infraestructura de Backdoor Backdoor RunnerBeacon que está diseñada para comunicarse con una infraestructura controlada por el atacante que está oscurecida utilizando servicios de cirro de Amazon Web Services (AWS).
Microsoft ofrece Clickonce como una forma de instalar y refrescar aplicaciones basadas en Windows con una interacción mínima del favorecido. Fue introducido en .NET Framework 2.0. Sin secuestro, la tecnología puede ser un medio atractivo para los actores de amenazas que buscan ejecutar sus cargas enseres maliciosas sin elevar las banderas rojas.
Como se señaló en el ámbito Mitre ATT y CK, las aplicaciones Clickonce se pueden usar para ejecutar código pillo a través de un binario de Windows de confianza, «DFSVC.EXE», que es responsable de instalar, iniciar y refrescar las aplicaciones. Las aplicaciones se lanzan como un proceso de niño de «DFSVC.EXE».
«Correcto a que las aplicaciones Clickonce solo reciben permisos limitados, no requieren permisos administrativos para instalar», explica Miter. «Como tal, los adversarios pueden aprovecharse de Clickonce a la ejecución de código pillo sin privación de aumentar los privilegios».
Trellix dijo que los cadenas de ataque comienzan con correos electrónicos de phishing que contienen un enlace a un sitio web fariseo de investigación de hardware que sirve como un conducto para entregar una aplicación Clickonce, que, a su vez, ejecuta un ejecutable usando dfsvc.exe.
El binario es un cargador de ClickOnce que se aguijada inyectando el código pillo a través de otra técnica conocida como inyección de AppDomainManager, lo que finalmente resulta en la ejecución de un código de sellado encriptado en la memoria para cargar la puerta trasera RunnerBeacon.
El implante de Golang puede comunicarse con un servidor de comando y control (C2) sobre HTTP (S), WebSockets, TCP en bruto y tuberías con nombre de SMB, lo que le permite realizar operaciones de archivos, enumerar y terminar los procesos de ejecución, ejecutar comandos de shell, ascender privilegios utilizando token y impersonación, y conquistar un movimiento posterior.
Encima, la puerta trasera incorpora características anti-análisis para eludir la detección y admite operaciones de red como escaneo de puertos, reenvío de puertos y protocolo Socks5 para proveer las características proxy y de enrutamiento.
«El diseño de RunnerBeacon es muy paralelo a las balizas Cobalt Strike basadas en GO (por ejemplo, la comunidad Geacon/Geacon Plus/Geacon Pro)», dijeron los investigadores.
«Al igual que Geacon, el conjunto de comandos (shell, enumeración de procesos, E/S de archivo, proxy, etc.) y el uso del protocolo cruzado C2 son muy similares. Estas similitudes estructurales y funcionales sugieren que el runnerbeacon puede ser una división evolucionada o una transformación modificada de geacon privada, adaptadas a las operaciones más rectosas y de cirro nubes».
Se han observado tres variantes diferentes de OneClick solo en marzo de 2025: V1A, BPI-MDM y V1D, con cada iteración demostrando capacidades progresivamente mejoradas para explosionar bajo el radar. Dicho esto, se identificó una transformación de Runnerbeacon en septiembre de 2023 en una compañía en el Medio Oriente en el sector de petróleo y gas.
Aunque las técnicas como la inyección de AppDomainManager han sido utilizadas por actores de amenaza vinculados a Corea y Corea del Ideal en el pasado, la actividad no se ha atribuido formalmente a ningún actor o camarilla de amenazas conocido. Trellix le dijo a The Hacker News que no tenía más detalles para compartir en la escalera de estos ataques y las regiones que han sido atacadas.
El expansión se produce cuando Qianxin detalló una campaña montada por un actor de amenaza que rastrea como APT-Q-14 que incluso ha empleado aplicaciones de Clickonce para propagar malware explotando una equivocación de secuencias de comandos de sitios cruzados (XSS) en la traducción web de una plataforma de correo electrónico sin nombre. La vulnerabilidad, dijo, desde entonces ha sido reparada.
La equivocación XSS se activa automáticamente cuando una víctima abre un correo electrónico de phishing, causando la descarga de la aplicación ClickOne. «El cuerpo del correo electrónico de phishing proviene de Yahoo News, que coincide con la industria de las víctimas», señaló Qianxin.
La secuencia de intrusos sirve a un manual de instrucciones de abertura como un señuelo, mientras que un troyano pillo está instalado sigilosamente en el host de Windows para compilar y exfiltrar información del sistema a un servidor C2 y acoger cargas enseres de próxima etapa desconocidas.
La compañía china de ciberseguridad dijo que APT-Q-14 incluso se centra en las vulnerabilidades de día cero en el software de correo electrónico para la plataforma Android.
APT-Q-14 ha sido descrito por Qianxin como originario del noreste de Asia y que se superponen con otros grupos denominados APT-Q-12 (incluso conocidos como Pseudo Hunter) y Apt-Q-15, que se evalúan como subgrupos en el interior de un camarilla de amenazas en línea en Corea del Sur conocido como Darkhotel (AKA Apt-C-06).
A principios de esta semana, el Centro de Inteligencia 360 de Amenazos con sede en Beijing reveló el uso de Darkhotel de Darkhotel de la técnica de traer su propio regulador indefenso (BYOVD) para terminar el antivirus del defensor de Microsoft y desplegar malware como parte de un ataque de phishing que entregó paquetes de instalación falsos de MSI en febrero de 2025.
El malware está diseñado para establecer la comunicación con un servidor remoto para descargar, descifrar y ejecutar ShellCode no especificado.
«En genérico, las tácticas (del camarilla de piratería) han tendido a ser» simples «en los últimos abriles: diferente del uso previo de vulnerabilidades de peso pesado, ha prohijado métodos de entrega y técnicas de ataque flexibles y novedosas», dijo la compañía. «En términos de objetivos de ataque, APT-C-06 todavía se centra en los comerciantes relacionados con Corea del Ideal, y el número de objetivos atacados en el mismo período es decano».
