Mediante el secuestro de servicios legítimos de Windows, los ciberdelincuentes logran una persistencia a largo plazo sin levantar sospechas en los sistemas comprometidos.

La investigación vincula con un alto nivel de confianza esta actividad al ecosistema del grupo APT41.

Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una campaña de ciberespionaje avanzada llevada a cabo por un actor de amenazas denominado Silver Dragon. Este grupo, con nexos probados con China, tiene como objetivo principal ministerios gubernamentales y empresas del sector público, principalmente en el sudeste asiático y diversas regiones de Europa.

Activo al menos desde mediados de 2024, Silver Dragon destaca por su disciplina operativa y el uso de técnicas diseñadas para el acceso sostenido y la recolección de inteligencia estratégica. Es decir, huye de ataques disruptivos o con fines puramente financieros. A diferencia de otros grupos que despliegan servicios maliciosos detectables, Silver Dragon emplea una táctica de secuestro de servicios legítimos de Windows. Los ciberdelincuentes detienen y recrean servicios comunes, como los asociados a Windows Update, Bluetooth o utilidades de .NET Framework, para ejecutar su código bajo nombres de confianza. Esta técnica permite que los procesos maliciosos se camuflen entre la actividad normal del sistema, lo que complica enormemente su detección en entornos corporativos de gran escala.

Distribución geográfica de las empresas objetivo.

GearDoor: el abuso de plataformas cloud de confianza

El componente central de esta campaña es un backdoor personalizado llamado GearDoor. Esta herramienta utiliza Google Drive como servidor de comando y control (C2). En lugar de comunicarse con infraestructuras sospechosas, los sistemas infectados intercambian archivos con cuentas de Google Drive dedicadas, lo que permite que el tráfico malicioso se mezcle con el uso legítimo de la nube en la empresa.

Check Point Research ha desglosado las fases críticas del ataque:

Acceso inicial multivector: el grupo combina la explotación de servidores expuestos a internet con campañas de phishing dirigidas que suplantan comunicaciones oficiales de entidades gubernamentales.

Arsenal post-explotación: además de GearDoor, utilizan herramientas como SilverScreen para hacerse con capturas de pantalla de sesiones activas y SSHcmd para la ejecución remota de comandos.

Carga final: en múltiples cadenas de infección, el payload definitivo detectado fue Cobalt Strike, configurado para que su tráfico parezca inadvertido mediante protocolos de red internos y DNS.

Tras un análisis exhaustivo de los patrones operativos y técnicos, los investigadores de Check Point han vinculado a Silver Dragon con el grupo APT41. Este veredicto se basa en la convergencia de indicadores como las rutinas de descifrado, solapamientos en el instrumental utilizado y el alineamiento de sus actividades con el huso horario de China (China Standard Time).

Para mitigar estos riesgos, Check Point Research recomienda priorizar el parcheo de sistemas expuestos, reforzar las defensas de correo electrónico y monitorizar de cerca cualquier modificación a nivel de servicios dentro de los entornos Windows.