sep 04, 2025Ravie Lakshmanancybersecurity / malware El grupo de piratería patrocinado por el estado ruso rastreado como APT28 se ha atribuido a una nueva puerta trasera de Microsoft Outlook llamada Notdoor en ataques dirigidos a múltiples compañías de diferentes sectores en países miembros de la OTAN. Notdoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes para una palabra de activación específica», dijo el equipo de inteligencia de amenazas LAB de S2 Grupo. «Cuando se detecta dicho correo electrónico, permite a un atacante exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima». El artefacto obtiene su nombre del uso de la palabra «nada» dentro del código fuente, agregó la compañía de seguridad cibernética española. La actividad destaca el abuso de la perspectiva como una comunicación sigilosa, exfiltración de datos y canal de entrega de malware. Actualmente no se conoce el vector de acceso inicial exacto utilizado para entregar el malware, pero el análisis muestra que se implementa a través del ejecutable OneDrive de Microsoft («onedrive.exe») utilizando una técnica denominada carga lateral de DLL. Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), que luego instala la puerta trasera VBA y deshabilita las protecciones de seguridad macro. Específicamente, ejecuta los comandos de PowerShell codificados en Base64 para realizar una serie de acciones que implican baliza a un webhook controlado por el atacante[.]Sitio, Configuración de la persistencia a través de modificaciones del registro, habilitando la ejecución de macro y desactivar los mensajes de diálogo relacionados con las perspectivas para evadir la detección. Notdoor está diseñado como un proyecto Visual Basic para Aplicaciones (VBA) de Outlook que hace uso de la aplicación. MAPILOGONCOMPLETE y Aplicación. Eventos de NewmailEx para ejecutar la carga útil cada vez que se inicia Outlook o que llega un nuevo correo electrónico. Luego procede a crear una carpeta en la ruta %temp %\ temp si no existe, utilizándola como una carpeta de puesta en escena para almacenar archivos TXT creados durante el curso de la operación y exfiltrarlos a una dirección de correo de protones. También analiza los mensajes entrantes para una cadena de activación, como «informe diario», lo que hace que extraiga los comandos incrustados que se ejecutarán. El malware admite cuatro comandos diferentes: CMD, para ejecutar comandos y devolver la salida estándar como un archivo adjunto de correo electrónico CMDNO, para ejecutar los comandos DWN, para exfiltrar archivos desde la computadora de la víctima enviándolos como accesorios de correo electrónico UPL, para soltar archivos a la computadora de la víctima «Los archivos exfiltrados por el malware están guardados en la carpeta», dijo Lab52. «El contenido del archivo se codifica utilizando el cifrado personalizado del malware, se envía por correo electrónico y luego se elimina del sistema». La divulgación se produce cuando el Centro de Inteligencia de Amenazos Basado en Beijing detalló la Tradecraft en evolución de Gamaredon (también conocida como APT-C-53), destacando su uso de telégrafo propiedad de telegrama como un resolutor de gotas muertas para señalar la infraestructura de comando y control (C2). Los ataques también son notables por el abuso de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet para fines de prueba y depuración, como dominios C2 para mayor sigiloso. «Esta técnica proporciona dos ventajas: primero, la IP del servidor C2 original está completamente enmascarada por los nodos de retransmisión de Microsoft, bloqueando los trazas de inteligencia de amenazas basadas en la reputación de IP», dijo la compañía de seguridad cibernética. «En segundo lugar, al explotar la capacidad del Servicio para restablecer los nombres de dominio de manera minuciosa a minuto, los atacantes pueden rotar rápidamente los nodos de infraestructura, aprovechando las credenciales de confianza y la escala de tráfico de los servicios en la nube convencionales para mantener una operación de amenaza continua de exposición casi cero». Las cadenas de ataque implican el uso de dominios falsos de trabajadores de CloudFlare para distribuir un script de Visual Basic como Pterolnk, que puede propagar la infección a otras máquinas copiando las unidades USB conectadas, así como descargar cargas útiles adicionales. «Esta cadena de ataque demuestra un alto nivel de diseño especializado, que emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, disfrazamiento de la ruta, abuso del servicio en la nube) para llevar a cabo una operación completamente encubierta desde la implantación inicial hasta la exfiltración de datos», dijo el Centro de Inteligencia de Amenazos 360.