Identifican nueva amenaza cibernética "Dohdoor" dirigida a sectores de salud y educación en EE. UU.

Investigadores de seguridad de Cisco Talos han revelado el descubrimiento de una campaña maliciosa persistente, activa desde al menos diciembre de 2025, que utiliza un sofisticado backdoor (puerta trasera) nunca antes visto. La operación, atribuida a un grupo de amenazas rastreado como UAT-10027, se centra específicamente en instituciones educativas y centros de atención médica en los Estados Unidos.

Un método de infección por etapas

De acuerdo con el análisis técnico publicado por Cisco Talos, el ataque comienza presumiblemente mediante técnicas de ingeniería social y phishing. Una vez que la víctima interactúa con el engaño, se desencadena una cadena de infección de múltiples etapas:

1. Ejecución inicial: Un script de PowerShell descarga un archivo por lotes (batch) desde un servidor remoto.

2. Carga del malware: El sistema descarga una biblioteca de enlace dinámico (DLL) maliciosa que utiliza una técnica conocida como DLL sideloading (carga lateral) para evadir la detección de los antivirus convencionales.

3. Despliegue de Dohdoor: Esta DLL actúa como cargador para el malware principal, denominado por los investigadores como "Dohdoor".

Sigilo mediante DNS-over-HTTPS

Lo que hace que Dohdoor sea particularmente peligroso es su método de comunicación. El malware utiliza el protocolo DNS-over-HTTPS (DoH) para conectarse con sus servidores de comando y control (C2). Al ocultar sus comunicaciones detrás de la infraestructura de Cloudflare, el tráfico malicioso se mezcla con el tráfico HTTPS legítimo, lo que dificulta enormemente su detección por parte de las herramientas de monitoreo de red estándar.

Una vez establecido el acceso, los atacantes han sido observados desplegando herramientas adicionales de post-explotación, como Cobalt Strike Beacon, lo que les permite mantener persistencia en la red y ejecutar comandos de forma remota.

Perfil de las víctimas y posibles autores

El informe de Cisco Talos destaca que los objetivos incluyen desde grandes universidades conectadas a otras redes académicas hasta instalaciones de cuidado para personas mayores. Este patrón de selección sugiere que los atacantes buscan entornos con infraestructuras críticas y datos sensibles, pero que a menudo cuentan con defensas de ciberseguridad menos robustas.

En cuanto a la atribución, los analistas señalaron con "baja confianza" posibles vínculos con grupos de la República Popular Democrática de Corea (RPDC), citando similitudes tácticas con herramientas utilizadas anteriormente por el grupo Lazarus. Sin embargo, el enfoque en los sectores de salud y educación marca una desviación del perfil típico de estos grupos, que suelen priorizar el sector financiero y de defensa.

Recomendaciones de seguridad

Ante esta amenaza activa, los expertos de Cisco recomiendan a las organizaciones:

• Reforzar la capacitación de los empleados contra ataques de phishing.

• Restringir la ejecución de scripts no firmados.

• Implementar políticas de "listas blancas" de aplicaciones para limitar el abuso de herramientas legítimas del sistema (LOLBins).

La investigación subraya la evolución constante de los actores de amenazas, quienes perfeccionan sus métodos de evasión para infiltrarse en sectores que manejan información vital para la sociedad.