Un congregación de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.
Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antiguamente panorámica con el nombre en código Dohdoor.
“Dohdoor utiliza la técnica DNS-over-HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otros binarios de carga útil de forma reflexiva”, dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad en un mensaje técnico compartido con The Hacker News.
Aunque actualmente se desconoce el vector de acercamiento original utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.
Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada “propsys.dll” o “batmeter.dll”.
La carga útil de DLL, es afirmar, Dohdoor, se inicia mediante un ejecutable seguro de Windows (por ejemplo, “Fondue.exe”, “mblctr.exe” y “ScreenClippingHost.exe”) utilizando una técnica conocida como carga colateral de DLL. El acercamiento de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la futuro etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.
“El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS seguro a una dirección IP completo confiable”, dijo Talos.
“Esta técnica evita los sistemas de detección basados en DNS, los sumideros de DNS y las herramientas de exploración de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas delante la infraestructura de seguridad de red tradicional”.
Incluso se ha descubierto que Dohdoor desengancha las llamadas del sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de enlaces de modo de heredero en NTDLL.dll.
Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el congregación de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.
“Si aceptablemente el malware UAT-10027 comparte superposiciones técnicas con el Especie Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil representativo de Lazarus de criptomonedas y objetivos de defensa”, concluyó Talos.
“Sin retención, (…) los actores norcoreanos de las APT han anotado al sector de la vitalidad utilizando el ransomware Maui, y otro congregación norcoreano de las APT, Kimsuky, ha anotado al sector educativo, destacando las superposiciones en la victimología de UAT-10027 con la de otras APT norcoreanas.”
