Grupo chino Ink Dragon compromete gobiernos mediante ShadowPad y FINALDRAFT

El actor de amenazas Ink Dragon, también identificado por la comunidad de inteligencia como Jewelbug y alineado con intereses estatales chinos, está llevando a cabo una campaña de ciberespionaje de alto nivel contra entidades gubernamentales y organizaciones del sector telecomunicaciones en Europa, Asia y África. La operación, documentada recientemente por Check Point Research, se caracteriza por el uso combinado de los malwares ShadowPad y FINALDRAFT, así como por una arquitectura avanzada de relevos que transforma a las víctimas comprometidas en infraestructura activa para nuevas intrusiones.

Según los investigadores, la campaña no se limita a accesos puntuales. Ink Dragon construye cadenas de compromiso persistentes que permiten reutilizar sistemas infectados como nodos intermedios, facilitando movimientos laterales y ataques contra múltiples organizaciones sin necesidad de desplegar infraestructura externa adicional.

Cadena de infección y técnicas de ejecución en memoria

Los ataques suelen iniciar con loaders especializados, entre ellos ShadowPad Loader, que emplea una triada de archivos (EXE, DLL y TMP) diseñada para descifrar y ejecutar el payload principal directamente en memoria. Este enfoque reduce significativamente la huella forense, ya que los artefactos temporales se eliminan tras la ejecución, dificultando el análisis posterior.

En otros casos se ha observado el uso de CDBLoader, una técnica más inusual que abusa de la herramienta legítima cdb.exe (parte del Windows Debugger). Mediante el parcheo de memoria, el loader inyecta shellcode y payloads cifrados con AES, evadiendo controles tradicionales basados en firmas y permitiendo la ejecución encubierta de componentes maliciosos.

FINALDRAFT: backdoor multiplataforma y control encubierto

Uno de los elementos más relevantes de la campaña es FINALDRAFT, un backdoor modular compatible con sistemas Windows y Linux. Esta herramienta fue detectada por primera vez en febrero de 2025 por investigadores de Elastic y Palo Alto Networks, y destaca por su canal de comando y control poco convencional: la recepción de instrucciones cifradas a través de correo electrónico.

Este mecanismo permite a los operadores interactuar con los sistemas comprometidos de forma discreta, mimetizando el tráfico malicioso con comunicaciones legítimas. FINALDRAFT soporta múltiples módulos para ejecución de comandos, exfiltración de datos y gestión remota, y su diseño facilita adaptaciones rápidas según el entorno de la víctima.

Persistencia, camuflaje y reutilización de herramientas nativas

La actividad observada muestra un alto grado de madurez operativa. Ink Dragon reutiliza herramientas nativas del sistema operativo (living-off-the-land techniques) para reducir alertas, mantiene accesos persistentes durante largos periodos y opera simultáneamente en docenas de entornos comprometidos. Esta combinación de técnicas apunta a operaciones de espionaje de largo plazo, más que a ataques destructivos o de impacto inmediato.

Atribución, superposiciones y ecosistema de amenazas

Check Point Research señala que Ink Dragon ha priorizado objetivos gubernamentales europeos desde al menos julio de 2025, sin abandonar sus operaciones en Asia y Sudamérica. En varios entornos victimizados se han detectado superposiciones con actividad atribuida al clúster REF3927, también conocido como RudePanda.

Si bien no existe evidencia concluyente de una relación operativa directa entre ambos grupos, los investigadores destacan la existencia de ecosistemas de ataque interconectados, donde diferentes actores alineados con China pueden compartir infraestructuras, vectores o víctimas, ya sea de forma coordinada o por convergencia estratégica.

Recomendaciones defensivas para entornos gubernamentales y empresariales

Ante esta campaña, Check Point recomienda a las organizaciones reforzar la visibilidad sobre comportamientos anómalos en memoria, monitorear posibles abusos de herramientas como cdb.exe y detectar sistemas que actúen como relés de ShadowPad dentro de la red. La remediación debe centrarse en desmantelar por completo las cadenas de intrusión, no solo en eliminar componentes individuales.

La sofisticación de la arquitectura empleada por Ink Dragon refuerza la necesidad de capacidades avanzadas de detección y respuesta en entornos híbridos, donde la falta de correlación entre endpoints, correo electrónico y tráfico de red puede permitir que este tipo de amenazas persistan durante meses sin ser detectadas.