Un servidor de puesta al día desaseado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue trabajador por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia.
«Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la estrato o inicio de sesión, para distribuir malware y compilar información confidencial», dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un mensaje intensivo.
La campaña, identificada en junio de 2025, ha sido prestigioso en código Duchón por la compañía de ciberseguridad. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%).
Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («Sogouzhuyin (.) Com») asociado con Sogou Zhuyin, un servicio de IME seguro que dejó de admitir actualizaciones en junio de 2019, para difundir las cargas maliciosas un mes luego. Se estima que varios cientos de víctimas fueron afectadas.
«El atacante se hizo cargo del servidor de puesta al día desaseado y, luego de registrarlo, usó el dominio para organizar actualizaciones maliciosas desde octubre de 2024», dijeron los investigadores. «A través de este canal, se han desplegado múltiples familias de malware, incluidos Gtelam, C6door, Desfy y Toshis».
Las familias de malware desplegadas tienen diferentes propósitos, incluido el golpe remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para eludir la detección, los actores de amenaza asimismo aprovecharon los servicios en la estrato de terceros para ocultar sus actividades de red en toda la condena de ataque.
Estas cepas de malware permiten el golpe remoto, el robo de información y la funcionalidad de la puerta trasera, con los atacantes asimismo utilizando servicios legítimos de almacenamiento en la estrato como Google Drive como punto de exfiltración de datos y para ocultar el tráfico de red maliciosa.
La condena de ataque comienza cuando los usuarios desprevenidos descargan el instalador oficial para Sogou Zhuyin de Internet, como la entrada tradicional de la página de Wikipedia china para Sogou Zhuyin, que, en marzo de 2025, se modificó para apuntar a los usuarios al dominio sagaz DL (.) Sogouzhuyin (.) Com.
Si aceptablemente el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de puesta al día cibernética se activa un par de horas luego de la instalación, lo que provoca el binario de actualizadores «Zhuyinup.exe, para obtener un archivo de configuración integrado de una URL integrada:» SRV-PC.Sogouzhuyin (.) Com/V1/puesta al día/lectura «.
Es este proceso de puesta al día el que ha sido manipulado para Desfy, Gtelam, C6door y Toshis con el objetivo final de perfilar y compilar datos de objetivos de stop valencia –
- Toshis (Detectado por primera vez en diciembre de 2024), un cargador diseñado para obtener cargas avíos de la próxima etapa (Strike Cobalt o Merlin Agent para el situación mítico) desde un servidor foráneo. Incluso es una reforma de Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar el cachete de cobalto o una puerta trasera llamamiento EntryShell en el pasado.
- Desfy (Detectado por primera vez en mayo de 2025), un spyware que recopila nombres de archivos de dos ubicaciones: escritorio y archivos de software
- Gelam (Detectado por primera vez en mayo de 2025), otro spyware que recopila nombres de archivos que coinciden con un conjunto específico de extensiones (PDF, DOC, DOCX, XLS, XLSX, PPT y PPTX), y exfila los detalles a Google Drive
- C6dooruna puerta trasera basada en GO a medida que utiliza protocolos HTTP y WebSocket para comando y control para admitir instrucciones para compilar información del sistema, ejecutar comandos arbitrarios, realizar operaciones de archivos, cargar/descargar archivos, capturar capturas de pantalla, enumerar procesos de ejecución, enumerar los directorios e inyectar el código de shell en un proceso dirigido
Un prospección posterior de C6door ha descubierto la presencia de caracteres chinos simplificados integrados interiormente de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en los chinos.
«Parece que el atacante todavía estaba en la período de inspección, principalmente buscando objetivos de stop valencia», dijo Trend Micro. «Como resultado, no se observaron más actividades posteriores a la explotación en la mayoría de los sistemas de víctimas. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código Visual Studio».
Curiosamente, hay evidencia de que Toshis asimismo se distribuyó a los objetivos que usan un sitio web de phishing, probablemente en relación con una campaña de phishing de rejón dirigida a Asia uruguayo y, en último medida, Noruega y los Estados Unidos, asimismo se han observado los ataques de phishing adoptando un enfoque de dos puntas,
- Servir páginas de inicio de sesión falsas con señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento de OAuth a las aplicaciones controladas por los atacantes, o
- Sirviendo páginas de almacenamiento de estrato falsas que imitan a Tencent Cloud Streamlink para descargar archivos de cremallera maliciosa que contienen toshis
Estos correos electrónicos de phishing incluyen una URL atrapada en el bobado y un documento señuelo que engaña al destinatario para que interactúe con el contenido sagaz, activando en última instancia una secuencia de ataque de varias etapas diseñada para soltar toshis utilizando la carga anexo de DLL u obtener golpe no calificado y control sobre sus buzones de Google o Microsoft a través de un indicador de permiso de oouthis.
Trend Micro dijo que el Taoth comparte infraestructura y superposición de herramientas con actividad de amenaza previamente documentada por parte de Itochu, pintando la imagen de un actor de amenaza persistente con un enfoque en el inspección, el espionaje y el exageración por correo electrónico.
Para combatir estas amenazas, se recomienda a las organizaciones para auditar de guisa rutinaria sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. Se insta a los usuarios a revisar los permisos solicitados por las aplicaciones en la estrato antaño de otorgar golpe.
«En la operación Sogou Zhuyin, el actor de amenaza mantuvo un perfil bajo, realizando un inspección para identificar objetivos valiosos entre las víctimas», dijo la compañía. «Mientras tanto, en las operaciones de phishing de rejón en curso, el atacante distribuyó correos electrónicos maliciosos a los objetivos para una viejo explotación».
