Un servidor de aggiornamento negligente asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue utilizado por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia.
“Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la cúmulo o inicio de sesión, para distribuir malware y compendiar información confidencial”, dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un crónica pormenorizado.
La campaña, identificada en junio de 2025, ha sido renombrado en código Duchón por la compañía de ciberseguridad. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%).
Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado (“Sogouzhuyin (.) Com”) asociado con Sogou Zhuyin, un servicio de IME permitido que dejó de cobrar actualizaciones en junio de 2019, para difundir las cargas maliciosas un mes a posteriori. Se estima que varios cientos de víctimas fueron afectadas.
“El atacante se hizo cargo del servidor de aggiornamento negligente y, a posteriori de registrarlo, usó el dominio para organizar actualizaciones maliciosas desde octubre de 2024”, dijeron los investigadores. “A través de este canal, se han desplegado múltiples familias de malware, incluidos Gtelam, C6door, Desfy y Toshis”.
Las familias de malware desplegadas tienen diferentes propósitos, incluido el paso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para eludir la detección, los actores de amenaza asimismo aprovecharon los servicios en la cúmulo de terceros para ocultar sus actividades de red en toda la dependencia de ataque.
Estas cepas de malware permiten el paso remoto, el robo de información y la funcionalidad de la puerta trasera, con los atacantes asimismo utilizando servicios legítimos de almacenamiento en la cúmulo como Google Drive como punto de exfiltración de datos y para ocultar el tráfico de red maliciosa.
La dependencia de ataque comienza cuando los usuarios desprevenidos descargan el instalador oficial para Sogou Zhuyin de Internet, como la entrada tradicional de la página de Wikipedia china para Sogou Zhuyin, que, en marzo de 2025, se modificó para apuntar a los usuarios al dominio astuto DL (.) Sogouzhuyin (.) Com.
Si correctamente el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de aggiornamento cibernética se activa un par de horas a posteriori de la instalación, lo que provoca el binario de actualizadores “Zhuyinup.exe, para obtener un archivo de configuración integrado de una URL integrada:” SRV-PC.Sogouzhuyin (.) Com/V1/aggiornamento/traducción “.
Es este proceso de aggiornamento el que ha sido manipulado para Desfy, Gtelam, C6door y Toshis con el objetivo final de perfilar y compendiar datos de objetivos de parada valía –
- Toshis (Detectado por primera vez en diciembre de 2024), un cargador diseñado para obtener cargas efectos de la próxima etapa (Strike Cobalt o Merlin Agent para el entorno mítico) desde un servidor extranjero. Incluso es una reforma de Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar el desgracia de cobalto o una puerta trasera indicación EntryShell en el pasado.
- Desfy (Detectado por primera vez en mayo de 2025), un spyware que recopila nombres de archivos de dos ubicaciones: escritorio y archivos de software
- Gelam (Detectado por primera vez en mayo de 2025), otro spyware que recopila nombres de archivos que coinciden con un conjunto específico de extensiones (PDF, DOC, DOCX, XLS, XLSX, PPT y PPTX), y exfila los detalles a Google Drive
- C6dooruna puerta trasera basada en GO a medida que utiliza protocolos HTTP y WebSocket para comando y control para cobrar instrucciones para compendiar información del sistema, ejecutar comandos arbitrarios, realizar operaciones de archivos, cargar/descargar archivos, capturar capturas de pantalla, enumerar procesos de ejecución, enumerar los directorios e inyectar el código de shell en un proceso dirigido
Un descomposición posterior de C6door ha descubierto la presencia de caracteres chinos simplificados integrados internamente de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en los chinos.
“Parece que el atacante todavía estaba en la etapa de examen, principalmente buscando objetivos de parada valía”, dijo Trend Micro. “Como resultado, no se observaron más actividades posteriores a la explotación en la mayoría de los sistemas de víctimas. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código Visual Studio”.
Curiosamente, hay evidencia de que Toshis asimismo se distribuyó a los objetivos que usan un sitio web de phishing, probablemente en relación con una campaña de phishing de venablo dirigida a Asia uruguayo y, en último medida, Noruega y los Estados Unidos, asimismo se han observado los ataques de phishing adoptando un enfoque de dos puntas,
- Servir páginas de inicio de sesión falsas con señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento de OAuth a las aplicaciones controladas por los atacantes, o
- Sirviendo páginas de almacenamiento de cúmulo falsas que imitan a Tencent Cloud Streamlink para descargar archivos de cremallera maliciosa que contienen toshis
Estos correos electrónicos de phishing incluyen una URL atrapada en el bobado y un documento señuelo que engaña al destinatario para que interactúe con el contenido astuto, activando en última instancia una secuencia de ataque de varias etapas diseñada para soltar toshis utilizando la carga adjunto de DLL u obtener paso no acreditado y control sobre sus buzones de Google o Microsoft a través de un indicador de permiso de oouthis.
Trend Micro dijo que el Taoth comparte infraestructura y superposición de herramientas con actividad de amenaza previamente documentada por parte de Itochu, pintando la imagen de un actor de amenaza persistente con un enfoque en el examen, el espionaje y el tropelía por correo electrónico.
Para combatir estas amenazas, se recomienda a las organizaciones para auditar de modo rutinaria sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. Se insta a los usuarios a revisar los permisos solicitados por las aplicaciones en la cúmulo ayer de otorgar paso.
“En la operación Sogou Zhuyin, el actor de amenaza mantuvo un perfil bajo, realizando un examen para identificar objetivos valiosos entre las víctimas”, dijo la compañía. “Mientras tanto, en las operaciones de phishing de venablo en curso, el atacante distribuyó correos electrónicos maliciosos a los objetivos para una maduro explotación”.
