El grupo de amenazas conocido como UnsolicitedBooker ha sido observado atacando empresas de telecomunicaciones en Kirguistán y Tayikistán, lo que representa un cambio respecto a sus ataques anteriores dirigidos a entidades en Arabia Saudita. Según un informe de Positive Technologies publicado la semana pasada, los ataques implican el despliegue de dos backdoors distintos, denominados LuciDoor y MarsSnake.
Los investigadores Alexander Badaev y Maxim Shamanov señalaron que el grupo utilizó varios instrumentos únicos y raros de origen chino. UnsolicitedBooker fue documentado por primera vez por ESET en mayo de 2025, atribuyendo al actor de amenazas alineado con China un ciberataque contra una organización internacional no identificada en Arabia Saudita con un backdoor llamado MarsSnake. Se estima que el grupo ha estado activo desde al menos marzo de 2023 y tiene un historial de atacar organizaciones en Asia, África y Oriente Medio.
Un análisis más profundo del actor de amenazas ha revelado superposiciones tácticas con otros dos grupos, incluidos Space Pirates y una campaña aún no atribuida dirigida a Arabia Saudita con otro backdoor conocido como Zardoor. El último conjunto de ataques documentado por el proveedor de ciberseguridad ruso se dirigió a organizaciones kirguisas a finales de septiembre de 2025 mediante correos electrónicos de phishing que contenían un documento de Microsoft Office. Al abrirlo, se instruía a los destinatarios a 'Habilitar contenido' para ejecutar una macro maliciosa.
Mientras el documento mostraba un plan tarifario de un proveedor de telecomunicaciones a la víctima, la macro descargaba sigilosamente un cargador de malware en C++ llamado LuciLoad, que a su vez entregaba LuciDoor. Otro ataque observado a finales de noviembre de 2025 adoptó el mismo modus operandi, pero esta vez utilizó un cargador diferente, denominado MarsSnakeLoader, para desplegar MarsSnake. Según se informa, en enero de 2026, UnsolicitedBooker aprovechó correos electrónicos de phishing como vector para atacar empresas en Tayikistán. Aunque la cadena de ataque general sigue siendo la misma, los mensajes incrustaban enlaces a los documentos señuelo en lugar de adjuntarlos directamente.
Escrito en C++, LuciDoor establece comunicación con un servidor de comando y control (C2), recopila información básica del sistema y exfiltra los datos al servidor en formato cifrado. Luego analiza las respuestas enviadas por el servidor para ejecutar comandos mediante cmd.exe, escribir archivos en el sistema y cargar archivos. MarsSnake, de manera similar, permite a los atacantes recolectar metadatos del sistema, ejecutar comandos arbitrarios y leer o escribir cualquier archivo en el disco.
Positive Technologies también dijo que encontró señales de que MarsSnake se utilizó en ataques dirigidos a China. El punto de partida es un acceso directo de Windows que se hace pasar por un documento de Microsoft Word (*.doc.lnk) que desencadena la ejecución de un script por lotes para lanzar un script de Visual Basic, que luego ejecuta MarsSnake sin el componente cargador. Se cree que el archivo señuelo se basa en un archivo LNK asociado con una herramienta de pruebas de penetración disponible públicamente llamada FTPlnk_phishing, debido a la hora de creación del archivo LNK y los indicadores de Machine ID idénticos. Cabe destacar que el grupo Mustang Panda utilizó un archivo LNK similar en ataques contra Tailandia en 2022.
En sus ataques, el grupo utilizó herramientas raras de origen chino. Curiosamente, al principio el grupo usó un backdoor que denominamos LuciDoor, pero luego cambió al backdoor MarsSnake. Sin embargo, en 2026, el grupo dio un giro y reanudó el uso de LuciDoor. Además, en al menos un caso, observamos que los atacantes utilizaban un router comprometido como servidor C2, y su infraestructura imitaba la de Rusia en algunos ataques.
Al ser consultado, ESET dijo a The Hacker News que no ha observado nuevas campañas realizadas por el actor de amenazas desde mayo de 2025. Pero la empresa de seguridad eslovaca evaluó con alta confianza que UnsolicitedBooker es un grupo de ciberespionaje alineado con China, basándose en las tácticas utilizadas, los patrones de victimología y los datos no públicos relevantes. Uno de esos indicadores es el uso de backdoors conocidos como Chinoxy, Deed RAT (un sucesor de ShadowPad, que a su vez es una evolución de PlugX), Poison Ivy y BeRAT, todos compartidos entre múltiples grupos alineados con China.
'En los últimos años, hemos observado al grupo atacando entidades en múltiples países, incluidos Argelia, Bélgica, Egipto, India, Mongolia, Arabia Saudita y Taiwán', dijo Matthieu Faou, investigador senior de malware en ESET. 'Sus víctimas típicas incluyen ministerios gubernamentales, proveedores de telecomunicaciones y profesionales legales'.
PseudoSticky y Cloud Atlas atacan Rusia
La divulgación se produce mientras un actor de amenazas previamente desconocido imita deliberadamente las tácticas de un grupo de hackers pro-ucraniano llamado Sticky Werewolf (también conocido como Angry Likho, MimiStick y PhaseShifters) para atacar organizaciones rusas en los sectores minorista, de construcción e investigación con malware como RemcosRAT y DarkTrack RAT para el robo integral de datos y control remoto. El nuevo grupo, denominado PseudoSticky, ha estado activo desde noviembre de 2025. Las víctimas suelen infectarse mediante correos electrónicos de phishing que contienen archivos adjuntos maliciosos que conducen al despliegue de los troyanos. Hay indicios de que el actor de amenazas ha utilizado modelos de lenguaje grandes (LLM) para desarrollar cadenas de ataque que implementan DarkTrack RAT a través de PureCrypter.
'Un análisis más detallado revela diferencias en la infraestructura, la implementación del malware y elementos tácticos individuales, lo que nos lleva a sospechar que probablemente no existe una conexión directa entre los grupos, sino más bien una imitación deliberada', dijo el proveedor de seguridad ruso F6. Las entidades rusas también han sido atacadas por otro grupo de hackers llamado Cloud Atlas, que utiliza correos electrónicos de phishing con documentos maliciosos de Word para distribuir malware personalizado conocido como VBShower y VBCloud.
'Cuando se abre, el documento malicioso carga una plantilla remota desde el C2 especificado en uno de los flujos del documento', dijo la empresa de ciberseguridad Solar. 'Esta plantilla explota la vulnerabilidad CVE-2018-0802. A continuación, se descarga un archivo malicioso con flujos alternativos, es decir, VBShower'.
