Investigadores de ciberseguridad han revelado detalles del grupo de amenaza persistente avanzada (APT) denominado Silver Dragon, que ha estado vinculado a ciberataques contra entidades en Europa y Sudeste Asiático al menos desde mediados de 2024. Según Check Point, Silver Dragon obtiene acceso inicial explotando servidores públicos vulnerables y mediante correos de phishing con archivos maliciosos. Para mantener la persistencia, secuestra servicios legítimos de Windows, permitiendo que los procesos maliciosos se mezclen con la actividad normal del sistema.
Se evalúa que Silver Dragon opera bajo el paraguas de APT41, un grupo de hackers chino prolífico conocido por atacar sectores de salud, telecomunicaciones, alta tecnología, educación, viajes y medios desde 2012, además de realizar actividades financieras posiblemente fuera del control estatal. Los ataques de Silver Dragon se centran principalmente en entidades gubernamentales, utilizando balizas Cobalt Strike para persistencia y técnicas como túneles DNS para evadir detección en la comunicación de comando y control (C2).
Cadenas de infección
Check Point identificó tres cadenas de infección para distribuir Cobalt Strike: secuestro de AppDomain, DLL de servicio y phishing basado en correo electrónico. Las dos primeras cadenas, AppDomain hijacking y Service DLL, muestran superposición operativa, entregándose mediante archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En varios casos, estas cadenas se implementaron tras comprometer servidores vulnerables expuestos.
La cadena AppDomain hijacking utiliza un archivo RAR con un script batch que descarga MonikerLoader, un cargador .NET que descifra y ejecuta una segunda etapa directamente en memoria. Esta segunda etapa actúa como conducto para cargar la baliza final de Cobalt Strike. La cadena Service DLL, por otro lado, usa un script batch para entregar BamboLoader, un cargador de shellcode DLL, registrado como servicio de Windows. BamboLoader, un malware C++ muy ofuscado, descifra y descomprime shellcode almacenado en disco y lo inyecta en un proceso legítimo de Windows, como 'taskhost.exe'.
La tercera cadena de infección implica una campaña de phishing dirigida principalmente a Uzbekistán, con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK activa código PowerShell mediante 'cmd.exe', extrayendo y ejecutando cargas útiles de siguiente etapa, que incluyen un documento señuelo, un ejecutable legítimo vulnerable a DLL side-loading ('GameHook.exe'), una DLL maliciosa (BamboLoader) y una carga útil cifrada de Cobalt Strike ('simhei.dat'). En esta campaña, el documento señuelo se muestra a la víctima mientras la DLL maliciosa se carga mediante 'GameHook.exe' para lanzar Cobalt Strike.
Herramientas post-explotación
Los ataques también incluyen el despliegue de diversas herramientas post-explotación. SilverScreen es una herramienta de monitoreo de pantalla .NET que captura capturas de pantalla periódicas de la actividad del usuario, incluyendo la posición precisa del cursor. SSHcmd es una utilidad de línea de comandos SSH .NET que permite ejecución remota de comandos y transferencia de archivos a través de SSH. GearDoor es una puerta trasera .NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.
Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por los atacantes y sube un archivo de heartbeat con información básica del sistema. Utiliza diferentes extensiones de archivo para indicar la tarea a realizar en el host infectado. Los resultados de la ejecución se capturan y suben a Drive. Las extensiones incluyen: *.png para heartbeat, *.pdf para recibir y ejecutar comandos, *.cab para recopilar información del sistema, *.rar para recibir payloads (incluyendo auto-actualización), y *.7z para recibir y ejecutar plugins en memoria.
Vínculos con APT41
Los vínculos de Silver Dragon con APT41 se basan en superposiciones de técnicas con scripts de instalación post-explotación previamente atribuidos a APT41 y en el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode vinculados a actividad APT relacionada con China. Check Point señaló que el grupo evoluciona continuamente sus herramientas y técnicas, probando y desplegando nuevas capacidades en diferentes campañas, lo que refleja un grupo de amenaza bien financiado y adaptable.
