NotDoor llega: la puerta trasera de APT28 para Microsoft Outlook

Redazione RHC : 4 septiembre 2025 10:03

Un sistema avanzado de puerta trasera asociado con el conocido grupo ruso de ciberespionaje APT28 permite a los atacantes descargar datos, cargar archivos y ejecutar comandos en equipos infectados. Este sistema de puerta trasera de última generación, descubierto recientemente, se centra en Microsoft Outlook, lo que permite a los atacantes robar información y controlar el equipo del usuario afectado.

La puerta trasera está diseñada para monitorizar los correos electrónicos entrantes de la víctima en busca de palabras clave específicas, como «Informe diario». Cuando se detecta un correo electrónico que contiene la palabra clave, el malware se activa, lo que permite a los atacantes ejecutar comandos maliciosos. El nombre «NotDoor» fue acuñado por investigadores debido al uso de la palabra «Nothing» en el código del malware.

El malware explota astutamente la funcionalidad legítima de Outlook para permanecer oculto y asegurar su persistencia. Según S2 Grupo, utiliza activadores VBA basados en eventos, como Application_MAPILogonComplete, que se activa al iniciar Outlook, y Application_NewMailEx, que se activa al recibir nuevos correos electrónicos. Las principales características del malware son las siguientes:

• Ofuscación de código: El código del malware se codifica intencionalmente con nombres de variables aleatorios y un método de codificación personalizado para dificultar su análisis.
• Instalación de archivos DLL: Utiliza un binario legítimo y firmado de Microsoft, OneDrive.exe, para cargar un archivo DLL malicioso. Esta técnica permite que el malware parezca un proceso confiable.
• Modificación del registro: Para garantizar la persistencia, NotDoor modifica la configuración del registro de Outlook. Desactiva las advertencias de seguridad relacionadas con las macros y suprime otros avisos, lo que le permite ejecutarse silenciosamente sin alertar al usuario.

El malware se ha atribuido al grupo de ciberamenazas ruso APT28, también conocido como Fancy Bear, patrocinado por el estado ruso. Los hallazgos fueron publicados por LAB52, la unidad de inteligencia de amenazas de la empresa española de ciberseguridad S2 Grupo.

NotDoor es un malware oculto escrito en Visual Basic para Aplicaciones (VBA), el lenguaje de scripting utilizado para automatizar tareas en las aplicaciones de Microsoft Office. Para evadir la detección del software de seguridad, NotDoor emplea varias técnicas sofisticadas:

Una vez activa, la puerta trasera crea un directorio oculto para almacenar archivos temporales, que luego se exfiltran a una dirección de correo electrónico controlada por el atacante antes de ser eliminados. El malware confirma su ejecución exitosa enviando devoluciones de llamada a un sitio webhook.

APT28 es un conocido grupo criminal vinculado a la Dirección Central de Inteligencia (GRU) del Estado Mayor ruso. Activo durante más de una década, el grupo es responsable de numerosos ciberataques de alto perfil, incluyendo la filtración de datos del Comité Nacional Demócrata (DNC) durante las elecciones presidenciales estadounidenses de 2016 e intrusiones en la Agencia Mundial Antidopaje (AMA).

La reciente introducción de esta herramienta demuestra la constante evolución del grupo y su capacidad para desarrollar estrategias innovadoras para evadir los sistemas de defensa contemporáneos. El malware NotDoor, según informó S2 Grupo, ya se ha utilizado ampliamente para poner en peligro la seguridad de múltiples empresas de diversos sectores económicos en los estados miembros de la OTAN.

Para protegerse contra esta amenaza, los expertos en seguridad recomiendan que las organizaciones desactiven las macros predeterminadas en sus sistemas, monitoreen atentamente cualquier actividad inusual en Outlook y examinen los desencadenadores basados en correo electrónico que podrían ser explotados por este malware.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli