Grupo APT alineado con China abusa de Group Policy de Windows para desplegar malware de espionaje

Investigadores de ESET Research han documentado una campaña de ciberespionaje avanzada en la que un grupo de amenazas alineado con China utiliza Windows Group Policy como vector principal para desplegar malware dentro de entornos Active Directory, aprovechándose de mecanismos administrativos legítimos para operar de forma sigilosa.

El grupo, identificado como LongNosedGoblin, no había sido documentado previamente y se mantiene activo al menos desde septiembre de 2023, con operaciones dirigidas principalmente a redes gubernamentales en el Sudeste Asiático y Japón.

Detalles de la campaña

Tras obtener acceso inicial a la red objetivo, los atacantes explotan permisos sobre Group Policy Objects (GPOs) para distribuir herramientas maliciosas a múltiples sistemas de forma centralizada, mimetizándose con tráfico administrativo normal y facilitando el movimiento lateral sin levantar alertas inmediatas.

Entre las principales herramientas observadas se encuentran:

• NosyHistorian, utilizada para recolectar historiales y datos de navegadores como Chrome, Edge y Firefox.

• NosyDoor, empleada para reconocimiento del sistema, ejecución remota de comandos y exfiltración de información.

• Exfiltración de datos a través de servicios legítimos en la nube como OneDrive y Google Drive, dificultando la detección mediante controles tradicionales de red.

Este enfoque permite a los atacantes integrarse en los flujos normales de administración de Windows, reduciendo el ruido operativo y prolongando su permanencia dentro de la infraestructura comprometida.

Herramientas, loaders y tácticas avanzadas

El arsenal del grupo incluye múltiples componentes diseñados para espionaje persistente y control remoto:

• NosyStealer, enfocado en la extracción de credenciales y datos de navegadores.

• NosyDownloader, encargado de cargar payloads directamente en memoria para evadir análisis estático.

• Un proxy SOCKS5 inverso, que proporciona acceso remoto encubierto a los sistemas comprometidos.

• Capacidades de grabación de audio y video, apoyadas en herramientas legítimas como FFmpeg.

ESET también observó el uso de loaders como oci.dll y mscorsvc.dll, potencialmente relacionados con Cobalt Strike, distribuidos mediante Group Policy y ejecutados a través de tareas programadas que invocan procesos legítimos del sistema para garantizar persistencia.

De forma relevante, una variante de NosyDoor fue detectada en una organización de la Unión Europea utilizando Yandex Disk como canal de exfiltración, lo que sugiere intercambio de herramientas o infraestructura entre distintos grupos APT chinos.

Riesgo para entornos empresariales y gubernamentales

El abuso de Group Policy como vector de ataque representa un riesgo significativo para organizaciones que confían en Active Directory como pilar de su gestión de identidades y configuraciones. Al operar dentro de mecanismos administrativos legítimos, estas campañas pueden evadir controles perimetrales y permanecer activas durante largos periodos, recolectando información sensible sin generar alertas evidentes.

Para equipos de TI y seguridad, este caso subraya la necesidad de tratar Active Directory y GPOs como activos críticos de alto riesgo, sujetos a monitoreo continuo y controles estrictos de acceso.

Recomendaciones de mitigación

ESET recomienda adoptar medidas defensivas inmediatas para reducir la superficie de ataque:

• Auditar y restringir permisos sobre Group Policy, asegurando que solo cuentas estrictamente necesarias puedan crear o modificar GPOs.

• Monitorear cambios sospechosos en políticas de grupo, especialmente aquellos que desplieguen DLLs, tareas programadas o scripts no documentados.

• Implementar soluciones EDR/XDR, con foco en comportamientos anómalos en navegadores, procesos .NET/C# y comunicaciones hacia servicios de nube pública.

• Mantener sistemas actualizados y segmentar redes, en particular en entornos gubernamentales o con información sensible.

• Seguir reportes técnicos de ESET y alertas de CERT, incorporando indicadores de compromiso (IOCs) y realizando threat hunting proactivo en infraestructuras Windows expuestas.