Los investigadores de ciberseguridad han detallado una nueva campaña doblada Disculpa Eso aprovecha la tecnología de implementación de software Clickonce de Microsoft y las puertas traseras de Golang a medida para comprometer a las organizaciones adentro de los sectores de energía, petróleo y gas.
“La campaña exhibe características alineadas con los actores de amenaza afiliados a los chinos, aunque la atribución sigue siendo cautelosa”, dijeron los investigadores de Trellix Nico Paulo Yturriaga y Pham Duy Phuc en una redacción técnica.
“Sus métodos reflejan un cambio más amplio en dirección a las tácticas de ‘vida-off-the-land’, combinando operaciones maliciosas adentro de las herramientas de nubes y empresas para sortear los mecanismos de detección tradicionales”.
Los ataques de phishing, en pocas palabras, utilizan un cargador basado en .NET llamado OneCliknet para implementar una sofisticada infraestructura de Backdoor Backdoor RunnerBeacon que está diseñada para comunicarse con una infraestructura controlada por el atacante que está oscurecida utilizando servicios de nubarrón de Amazon Web Services (AWS).
Microsoft ofrece Clickonce como una forma de instalar y poner al día aplicaciones basadas en Windows con una interacción mínima del becario. Fue introducido en .NET Framework 2.0. Sin retención, la tecnología puede ser un medio atractivo para los actores de amenazas que buscan ejecutar sus cargas enseres maliciosas sin elevar las banderas rojas.
Como se señaló en el situación Mitre ATT y CK, las aplicaciones Clickonce se pueden usar para ejecutar código malvado a través de un binario de Windows de confianza, “DFSVC.EXE”, que es responsable de instalar, iniciar y poner al día las aplicaciones. Las aplicaciones se lanzan como un proceso inmaduro de “DFSVC.EXE”.
“Conveniente a que las aplicaciones Clickonce solo reciben permisos limitados, no requieren permisos administrativos para instalar”, explica Miter. “Como tal, los adversarios pueden extralimitarse de Clickonce a la ejecución de código malvado sin requisito de aumentar los privilegios”.
Trellix dijo que los cadenas de ataque comienzan con correos electrónicos de phishing que contienen un enlace a un sitio web infiel de prospección de hardware que sirve como un conducto para entregar una aplicación Clickonce, que, a su vez, ejecuta un ejecutable usando dfsvc.exe.
El binario es un cargador de ClickOnce que se lanceta inyectando el código malvado a través de otra técnica conocida como inyección de AppDomainManager, lo que finalmente resulta en la ejecución de un código de sellado encriptado en la memoria para cargar la puerta trasera RunnerBeacon.
El implante de Golang puede comunicarse con un servidor de comando y control (C2) sobre HTTP (S), WebSockets, TCP en bruto y tuberías con nombre de SMB, lo que le permite realizar operaciones de archivos, enumerar y terminar los procesos de ejecución, ejecutar comandos de shell, progresar privilegios utilizando token y impersonación, y conseguir un movimiento posterior.
Encima, la puerta trasera incorpora características anti-análisis para sortear la detección y admite operaciones de red como escaneo de puertos, reenvío de puertos y protocolo Socks5 para suministrar las características proxy y de enrutamiento.
“El diseño de RunnerBeacon es muy paralelo a las balizas Cobalt Strike basadas en GO (por ejemplo, la comunidad Geacon/Geacon Plus/Geacon Pro)”, dijeron los investigadores.
“Al igual que Geacon, el conjunto de comandos (shell, enumeración de procesos, E/S de archivo, proxy, etc.) y el uso del protocolo cruzado C2 son muy similares. Estas similitudes estructurales y funcionales sugieren que el runnerbeacon puede ser una separación evolucionada o una cambio modificada de geacon privada, adaptadas a las operaciones más rectosas y de nubarrón nubes”.
Se han observado tres variantes diferentes de OneClick solo en marzo de 2025: V1A, BPI-MDM y V1D, con cada iteración demostrando capacidades progresivamente mejoradas para derribar bajo el radar. Dicho esto, se identificó una cambio de Runnerbeacon en septiembre de 2023 en una compañía en el Medio Oriente en el sector de petróleo y gas.
Aunque las técnicas como la inyección de AppDomainManager han sido utilizadas por actores de amenaza vinculados a Corea y Corea del Meta en el pasado, la actividad no se ha beneficiario formalmente a ningún actor o montón de amenazas conocido.
El explicación se produce cuando Qianxin detalló una campaña montada por un actor de amenaza que rastrea como APT-Q-14 que asimismo ha empleado aplicaciones de Clickonce para propagar malware explotando una error de secuencias de comandos de sitios cruzados (XSS) en la traducción web de una plataforma de correo electrónico sin nombre. La vulnerabilidad, dijo, desde entonces ha sido reparada.
La error XSS se activa automáticamente cuando una víctima abre un correo electrónico de phishing, causando la descarga de la aplicación ClickOne. “El cuerpo del correo electrónico de phishing proviene de Yahoo News, que coincide con la industria de las víctimas”, señaló Qianxin.
La secuencia de intrusos sirve a un manual de instrucciones de orificio como un señuelo, mientras que un troyano malvado está instalado sigilosamente en el host de Windows para compilar y exfiltrar información del sistema a un servidor C2 y cobrar cargas enseres de próxima etapa desconocidas.
La compañía china de ciberseguridad dijo que APT-Q-14 asimismo se centra en las vulnerabilidades de día cero en el software de correo electrónico para la plataforma Android.
APT-Q-14 ha sido descrito por Qianxin como originario del noreste de Asia y que se superponen con otros grupos denominados APT-Q-12 (asimismo conocidos como Pseudo Hunter) y Apt-Q-15, que se evalúan como subgrupos adentro de un montón de amenazas adscrito en Corea del Sur conocido como Darkhotel (AKA Apt-C-06).
A principios de esta semana, el Centro de Inteligencia 360 de Amenazos con sede en Beijing reveló el uso de Darkhotel de Darkhotel de la técnica de traer su propio regulador frágil (BYOVD) para terminar el antivirus del defensor de Microsoft y desplegar malware como parte de un ataque de phishing que entregó paquetes de instalación falsos de MSI en febrero de 2025.
El malware está diseñado para establecer la comunicación con un servidor remoto para descargar, descifrar y ejecutar ShellCode no especificado.
“En militar, las tácticas (del montón de piratería) han tendido a ser” simples “en los últimos primaveras: diferente del uso previo de vulnerabilidades de peso pesado, ha recogido métodos de entrega y técnicas de ataque flexibles y novedosas”, dijo la compañía. “En términos de objetivos de ataque, APT-C-06 todavía se centra en los comerciantes relacionados con Corea del Meta, y el número de objetivos atacados en el mismo período es veterano”.
