Campaña de espionaje basada en envenenamiento selectivo de DNS

Investigadores de Kaspersky identificaron una campaña de espionaje dirigida que aprovecha técnicas avanzadas de adversary-in-the-middle (AitM) mediante envenenamiento selectivo de DNS. La operación fue atribuida al grupo APT Evasive Panda, activo desde al menos 2012 y también conocido como Bronze Highland o StormBamboo.

La campaña se caracteriza por su alto grado de precisión, permitiendo a los atacantes seleccionar víctimas en función de geolocalización, proveedor de servicios de Internet (ISP) y versiones específicas de Windows.

Técnica de ataque: DNS poisoning dirigido

Los atacantes manipulaban respuestas DNS de dominios legítimos y ampliamente utilizados, como dictionary.com o p2p.hd.sohu.com.cn. En lugar de resolver hacia las direcciones correctas, las solicitudes eran redirigidas a servidores controlados por el atacante, desde donde se entregaba un payload malicioso camuflado.

El proceso iniciaba con la descarga de un loader ligero encargado de ejecutar shellcode en el sistema víctima. Este enfoque AitM permitió ataques silenciosos y altamente selectivos, difíciles de detectar mediante controles tradicionales de seguridad perimetral.

Cadena de infección y evasión

El loader inicial activaba una segunda etapa cifrada mediante un esquema híbrido que combinaba DPAPI de Microsoft con el algoritmo RC5. El contenido malicioso se ocultaba dentro de un archivo con apariencia de imagen PNG, técnica diseñada para evadir análisis estático y dinámico.

Posteriormente, un loader secundario —disfrazado como python.exe— utilizaba DLL sideloading para inyectar el implante final en el proceso svchost.exe, asegurando persistencia. Como señuelo, la campaña empleaba falsos actualizadores de software popular como Baidu iQIYI, IObit Smart Defrag y Tencent QQ, aumentando la tasa de ejecución exitosa.

Capacidades del implante MgBot

El implante desplegado, conocido como MgBot, es de arquitectura modular y está orientado al espionaje de largo plazo. Entre sus capacidades se incluyen:

• Recolección y exfiltración de archivos

• Registro de pulsaciones de teclado

• Captura del portapapeles

• Grabación de audio

• Robo de credenciales almacenadas en navegadores

Su diseño le permite operar de forma sigilosa durante periodos prolongados, adaptándose al entorno comprometido sin generar señales evidentes de actividad maliciosa.

Atribución y contexto operativo

El análisis sugiere que los atacantes pudieron comprometer infraestructuras de red críticas, como ISPs o dispositivos intermedios, para realizar el envenenamiento DNS selectivo. Estas tácticas son coherentes con campañas previas asociadas al mismo actor, incluyendo ataques de supply chain y watering hole.

Como medidas de mitigación, Kaspersky recomendó reforzar el monitoreo de anomalías en resoluciones DNS, implementar segmentación de red y validar la integridad de actualizaciones de software, especialmente en entornos corporativos sensibles.