Los investigadores del proveedor de seguridad cibernética española S2 Grupo han observado una nueva puerta trasera de Outlook que permite a los actores de amenaza exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de una víctima. El laboratorio de inteligencia de amenazas de S2 Grupo, LAB52, compartió sus hallazgos en un informe publicado el 3 de septiembre. Los analistas de amenazas denominaron esta puerta trasera ‘Notdoor’ debido al uso de la palabra ‘nada’ dentro del código. Lo han atribuido al grupo de amenazas cibernéticas respaldadas por Rusia APT28. Notdoor: sofisticado malware de Outlook basado en VBA La puerta trasera notaor es un sofisticado Visual Basic para malware basado en aplicaciones (VBA) dirigida a Microsoft Outlook, diseñada para monitorear correos electrónicos entrantes para palabras de activación específicas y ejecutar comandos maliciosos. VBA es el lenguaje de secuencias de comandos integrado de Microsoft utilizado para automatizar tareas en aplicaciones de oficina, como Excel, Word y Outlook. Si bien los usuarios legítimos emplean VBA para la productividad, los actores de amenaza lo explotan para incrustar el código malicioso en las macros, que se ejecutan cuando se abren documentos o correos electrónicos. Notdoor abusa de los desencadenantes VBA impulsados ​​por el evento de Outlook, como Application_MapilOgonComplete (en Startup) y Application_newmailEx (en nuevos correos electrónicos), para activar su carga útil. El código del malware está ofuscado, con nombres de variables aleatorios y una técnica de codificación de cadenas personalizada que agrega caracteres basura a datos Base64, imitando el cifrado al análisis Hinder. Disfrazado de las macros de Outlook legítimas, Notdoor permite a los atacantes exfiltrar datos, cargar archivos y ejecutar comandos arbitrarios en sistemas comprometidos. En particular, el malware aprovecha la carga lateral de DLL a través de un binario de Microsoft firmado (OneDrive.exe), que carga una DLL maliciosa (sspicli.dll) para implementar la puerta trasera mientras evade la detección. La persistencia se logra modificando la configuración del registro de Outlook para deshabilitar las advertencias de seguridad, habilitar las macros en el inicio y suprimir las indicaciones de diálogo, asegurando el funcionamiento silencioso. La puerta trasera establece la comunicación encubierta exfiltrando los datos de las víctimas al correo electrónico controlado por el atacante (a.matti444@proton[.]yo) y verificar la ejecución a través de devoluciones de llamada DNS y HTTP a webhook.site. Tras la infección, crea un directorio oculto (%TEMP%\ temp) para almacenar artefactos, que se envían por correo electrónico automáticamente al atacante y se eliminan. Activado por correos electrónicos que contienen una cadena predefinida (por ejemplo, «informe diario»), notificaciones de notas encriptados integrados en el cuerpo del mensaje, admitiendo múltiples instrucciones por correo electrónico, como robo de archivos, ejecución de comandos o descargas de carga útil adicionales. El diseño modular del malware permite a los atacantes actualizar dinámicamente los desencadenantes y los comandos, lo que hace que la detección y la mitigación sean desafiantes. Al abusar de las capacidades de VBA nativas de Outlook, el malware sigue siendo persistente y sigiloso, por lo que es una herramienta potente para el espionaje o los ataques específicos. Los investigadores de LAB52 recomendaron que las organizaciones desactiven las macros por defecto, monitoreen la actividad de perspectiva inusual e inspeccionen los desencadenantes basados ​​en el correo electrónico para defenderse de tales amenazas. APT28: Un grupo de amenazas en evolución APT28 es un grupo de amenazas cibernéticas conocidas por sus ataques disruptivos. También se conoce bajo muchos nombres, incluyendo Fancy Bear, Fighting Ursa, Forest Blizzard, Pawn Storm, Strontium, Sednit, Sofacy y Tsar Team. Activo desde al menos 2014, APT28 se ha atribuido a la Unidad Militar 26165 del Centro de Servicio Especial Principal del Estado Mayor de Rusia (GTSSS). Dos años más tarde, en 2018, el Departamento de Justicia de los Estados Unidos (DOJ) acusó a cinco oficiales de la Unidad 26165 de GRU por orquestar intrusiones cibernéticas entre 2014 y 2018. Sus objetivos incluyeron la Agencia Mundial Antidopaje (AMA), la agencia antidopia de los Estados Unidos, una instalación nuclear de los Estados Unidos, la organización para la Prohibición de Armas Químicas (OpcWw) y el Spiez Swiss Laboratoration, la Instalación Nuclear, la Organización de la Prohibición de la Prohibición de Armas Químicas (OpcWw) y el Spiez Swiss Laboratoration, la Instalación Nuclear, la Organización de la Prohibición de la Prohibición de las Armas Químicas (OpcWw) y el Spiez Swiss Laboratoration, el Laboratory, el Laboratorio de Laboratorios. Algunas de estas operaciones se llevaron a cabo con el soporte de la Unidad 74455 de GRU, también conocido como el equipo de gusanos de arena. Según los investigadores de LAB52, Notdoor ilustra «la evolución continua de APT28, demostrando cómo genera continuamente nuevos artefactos capaces de evitar mecanismos de defensa establecidos». Más recientemente, APT28 se vinculó a una campaña que ofrece Lamehug, uno de los primeros modelos de idiomas de gran taller (LLM). Inicialmente detectado por el Equipo Nacional de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA) en julio de 2025, los investigadores de Mitre describieron Lamehug como una prueba de prueba «primitiva» para futuros ataques impulsados ​​por la IA. Leer ahora: los investigadores descubren por primera vez que informó el ransomware con AI con IA