Un servidor de actualización abandonado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue aprovechado por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia. «Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la nube o inicio de sesión, para distribuir malware y recopilar información confidencial», dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un informe exhaustivo. La campaña, identificada en junio de 2025, ha sido nombrada en código Taoth por la compañía de seguridad cibernética. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%). Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («Sogouzhuyin[.]com «) asociado con Sogou Zhuyin, un servicio IME legítimo que dejó de recibir actualizaciones en junio de 2019, para difundir las cargas útiles maliciosas un mes después. Se estima que varios cientos de víctimas se vieron afectadas». El atacante se apoderó del servidor de actualizaciones abandonadas y, después de registrarlo, se utiliza el dominio para organizar actualizaciones maliciosas desde octubre de 2024 «. Gtelam, C6door, Desfy y Toshis. «Las familias de malware desplegadas tienen diferentes propósitos, incluidos el acceso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para evadir la detección, los actores de amenaza también aprovecharon los servicios en la nube de terceros para las actividades de la cadena de la red en la cadena de ataque. Un punto de exfiltración de datos y para ocultar el tráfico de redes maliciosas.[.]Sogouzhuyin[.]com. Si bien el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de actualización automática se activa un par de horas después de la instalación, lo que hace que el binario de actualizadores «Zhuyinup.exe», obtenga un archivo de configuración de actualización de una URL integrada: «SRV-PC.SogouZhuyinin[.]com/v1/actualización/versión. «Es este proceso de actualización el que ha sido manipulado con Desfy, Gtelam, C6Door y Toshis con el objetivo final de perfilar y recopilar datos de objetivos de alto valor-Toshis (primer Servidor de marco de marco externo detectado de diciembre de 2024). Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar Cobalt Strike o una puerta trasera llamada EntryShell en el pasado. XLSX, PPT, and PPTX), and exfiltrates the details to Google Drive C6DOOR, a bespoke Go-based backdoor that uses HTTP and WebSocket protocols for command-and-control so as to receive instructions to gather system information, run arbitrary commands, perform file operations, upload/download files, capture screenshots, list running processes, enumerate directories, and inject shellcode into a targeted process Further El análisis de C6door ha descubierto la presencia de caracteres chinos simplificados integrados dentro de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en chino «. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código de Visual Studio. «Curiosamente, hay evidencia de que Toshis también se distribuyó a los objetivos utilizando un sitio web de phishing, probablemente en relación con una campaña de lanza dirigida a un enfoque de dos medidas de registro y, en un enfoque de logro menor, también se ha observado un enfoque de logro de dos medidas de registro con un enfoque de logro de dos medidas de registro, también se ha observado un enfoque de logro de dos medidas de registro. Los señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento OAuth a las aplicaciones controladas por el atacante, o que sirven páginas de almacenamiento de nube falsas que imitan Tencent Cloud Streamlink para descargar archivos de Zip Maliciosos que contienen toshis estos correos electrónicos de falla de la potencia de la Booby y un documento de desacuerdo que engaña a los trucos de la interacción con el contenido malicioso, el Contenido de la Múltiple. Toshis utilizando la carga lateral de DLL u obtenga el acceso y el control no autorizados sobre sus buzones de Google o Microsoft a través de un mensaje de permiso OAuth. Auditar sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. objetivos para una mayor explotación «.