Investigadores de ciberseguridad han revelado detalles de una intrusión que involucró el uso de una herramienta de acceso remoto (RAT) llamada CloudZ y un plugin previamente no documentado denominado Pheno, con el objetivo de facilitar el robo de credenciales. Según los investigadores de Cisco Talos, Alex Karkins y Chetan Raghuprasad, el ataque buscaba robar credenciales de las víctimas y potencialmente contraseñas de un solo uso (OTP).
Lo novedoso del ataque es que CloudZ utiliza el plugin Pheno para secuestrar el puente establecido entre PC y teléfono abusando de la aplicación Microsoft Phone Link. Esto permite al plugin monitorear procesos activos de Phone Link e interceptar datos móviles sensibles como SMS y OTP sin necesidad de implementar malware en el teléfono. Los hallazgos demuestran cómo las funciones legítimas de sincronización entre dispositivos pueden exponer vías de ataque no previstas para el robo de credenciales y ayudar a eludir la autenticación de dos factores, además de evitar la necesidad de comprometer el dispositivo móvil.
Según la empresa de ciberseguridad, el malware se ha utilizado en una intrusión activa desde al menos enero de 2026. La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido. Phone Link, integrado en Windows 10 y Windows 11, permite a los usuarios emparejar su computadora con un dispositivo Android o iPhone mediante Wi-Fi y Bluetooth, facilitando llamadas, mensajes y notificaciones. Los atacantes han intentado aprovechar la aplicación usando CloudZ RAT y Pheno para confirmar la actividad de Phone Link en el entorno de la víctima y luego acceder al archivo de base de datos SQLite que almacena los datos sincronizados del teléfono.
La cadena de ataque empleó un método de acceso inicial aún no determinado para obtener una posición y soltar un ejecutable falso de ConnectWise ScreenConnect, responsable de descargar y ejecutar un cargador .NET. El dropper inicial también utiliza un script de PowerShell incrustado para establecer persistencia creando una tarea programada que ejecuta el cargador malicioso .NET. El cargador intermedio está diseñado para realizar comprobaciones de hardware y entorno para evadir la detección y desplegar el troyano modular CloudZ en la máquina.
Una vez ejecutado, el troyano compilado en .NET descifra una configuración incrustada, establece una conexión de socket encriptada con el servidor de comando y control (C2) y espera instrucciones codificadas en Base64 que le permiten exfiltrar credenciales e implantar plugins adicionales. Entre los comandos compatibles con CloudZ se incluyen: pong (respuestas de latido), PING! (solicitud de latido), CLOSE (terminar el proceso), INFO (recolectar metadatos del sistema), RunShell (ejecutar comandos de shell), BrowserSearch (exfiltrar datos del navegador), GetWidgetLog (exfiltrar registros de Phone Link), plugin (cargar un plugin), savePlugin (guardar plugin en disco), sendPlugin (subir plugin al C2), RemovePlugins (eliminar plugins), Recovery (habilitar reconexión), DW (descargar y escribir archivos), FM (gestión de archivos), Msg (enviar mensaje al C2), Error (reportar errores) y rec (grabar pantalla).
"El atacante utilizó un plugin llamado Pheno para realizar reconocimiento de la aplicación Windows Phone Link en la máquina víctima", dijeron los investigadores de Talos. "El plugin realiza reconocimiento de la aplicación Microsoft Phone Link y escribe los datos de reconocimiento en un archivo de salida en una carpeta de staging. CloudZ lee los datos de la aplicación Phone Link desde la carpeta de staging y los envía al servidor C2".
