El comunidad de amenaza persistente destacamento (APT, por sus siglas en inglés) vinculado a China, conocido como APT31 se ha atribuido a ciberataques dirigidos al sector ruso de tecnología de la información (TI) entre 2024 y 2025 sin ser detectados durante largos períodos de tiempo.
“En el período de 2024 a 2025, el sector informático ruso, especialmente las empresas que trabajan como contratistas e integradores de soluciones para agencias gubernamentales, se enfrentaron a una serie de ataques informáticos dirigidos”, dijeron en un crónica técnico los investigadores de Positive Technologies, Daniil Grigoryan y Varvara Koloskova.
Se estima que APT31, asimismo conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (anteriormente Zirconium), está activo desde al menos 2010. Tiene un historial de atacar a una amplia abanico de sectores, incluidos gobiernos, finanzas, aeroespacial y defensa, suscripción tecnología, construcción e ingeniería, telecomunicaciones, medios y seguros.
El comunidad de ciberespionaje se centra principalmente en compendiar inteligencia que pueda proporcionar a Beijing y a las empresas estatales ventajas políticas, económicas y militares. En mayo de 2025, la República Checa culpó al comunidad de hackers de atacar su Servicio de Asuntos Exteriores.
Los ataques dirigidos a Rusia se caracterizan por el uso de servicios legítimos en la nubarrón, principalmente los que prevalecen en el país, como Yandex Cloud, para comando y control (C2) y exfiltración de datos en un intento de mezclarse con el tráfico ordinario y escapar de la detección.
Asimismo se dice que el adversario organizó comandos cifrados y cargas bártulos en perfiles de redes sociales, tanto nacionales como extranjeros, mientras realizaba sus ataques durante los fines de semana y días festivos. En al menos un ataque dirigido a una empresa de TI, APT31 violó su red ya a finales de 2022, ayer de intensificar la actividad coincidiendo con las ocio de Año Nuevo de 2023.
En otra intrusión detectada en diciembre de 2024, los actores de amenazas enviaron un correo electrónico de phishing que contenía un archivo RAR que, a su vez, incluía un ataque directo de Windows (LNK) responsable de iniciar un cargador Cobalt Strike denominado CloudyLoader mediante carga pegado de DLL. Kaspersky documentó previamente los detalles de esta actividad en julio de 2025, mientras identificaba algunas superposiciones con un comunidad de amenazas conocido como EastWind.
La compañía rusa de ciberseguridad asimismo dijo que identificó un señuelo de archivo ZIP que se hizo producirse por un crónica del Servicio de Relaciones Exteriores de Perú para finalmente implementar CloudyLoader.
Para suministrar las etapas posteriores del ciclo de ataque, APT31 ha aplicado un amplio conjunto de herramientas personalizadas y disponibles públicamente. La persistencia se logra configurando tareas programadas que imitan aplicaciones legítimas, como Yandex Disk y Google Chrome. Algunos de ellos se enumeran a continuación:
- SharpADUserIP, una utilidad C# para examen y descubrimiento
- SharpChrome.exe, para extraer contraseñas y cookies de los navegadores Google Chrome y Microsoft Edge
- SharpDir, para agenciárselas archivos
- StickyNotesExtract.exe, para extraer datos de la colchoneta de datos de Windows Sticky Notes
- Tailscale VPN, para crear un túnel oculto y configurar una red peer-to-peer (P2P) entre el host comprometido y su infraestructura.
- Túneles de ampliación de Microsoft para canalizar el tráfico
- Owawa, un módulo IIS pillo para el robo de credenciales
- AufTime, un backdoor Linux que utiliza la biblioteca wolfSSL para comunicarse con C2
- COFFProxy, una puerta trasera de Golang que admite comandos para canalizar el tráfico, ejecutar comandos, ordenar archivos y entregar cargas bártulos adicionales.
- VtChatter, una útil que utiliza comentarios codificados en Base64 a un archivo de texto alojado en VirusTotal como canal C2 bidireccional cada dos horas
- OneDriveDoor, un backdoor que utiliza Microsoft OneDrive como C2
- LocalPlugX, una variación de PlugX que se utiliza para propagarse interiormente de la red tópico, en espacio de comunicarse con C2
- CloudSorcerer, un backdoor que utilizaba servicios en la nubarrón como C2
- YaLeak, una útil .NET para subir información a Yandex Cloud
“APT31 repone constantemente su cúmulo, aunque siguen utilizando algunas de sus antiguas herramientas”, afirma Positive Technologies. “Como C2, los atacantes utilizan activamente los servicios en la nubarrón, en particular los servicios Yandex y Microsoft OneDrive. Muchas herramientas asimismo están configuradas para funcionar en modo servidor, esperando a que los atacantes se conecten a un host infectado”.
“Encima, el comunidad filtra datos a través del almacenamiento en la nubarrón de Yandex. Estas herramientas y técnicas permitieron a APT31 producirse desapercibido en la infraestructura de las víctimas durante abriles. Al mismo tiempo, los atacantes descargaron archivos y recopilaron información confidencial de los dispositivos, incluidas contraseñas de buzones de correo y servicios internos de las víctimas”.
