Red Hot Cyber, The cybersecurity news

Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar

NotDoor llega: la puerta trasera de APT28 para Microsoft Outlook

Redazione RHC : 4 septiembre 2025 10:03

Un sistema avanzado de puerta trasera asociado con el conocido grupo ruso de ciberespionaje APT28 permite a los atacantes descargar datos, cargar archivos y ejecutar comandos en equipos infectados. Este sistema de puerta trasera de última generación, descubierto recientemente, se centra en Microsoft Outlook, lo que permite a los atacantes robar información y controlar el equipo del usuario afectado.

La puerta trasera está diseñada para monitorizar los correos electrónicos entrantes de la víctima en busca de palabras clave específicas, como «Informe diario». Cuando se detecta un correo electrónico que contiene la palabra clave, el malware se activa, lo que permite a los atacantes ejecutar comandos maliciosos. El nombre «NotDoor» fue acuñado por investigadores debido al uso de la palabra «Nothing» en el código del malware.

El malware explota astutamente la funcionalidad legítima de Outlook para permanecer oculto y asegurar su persistencia. Según S2 Grupo, utiliza activadores VBA basados en eventos, como Application_MAPILogonComplete, que se activa al iniciar Outlook, y Application_NewMailEx, que se activa al recibir nuevos correos electrónicos. Las principales características del malware son las siguientes:

  • Ofuscación de código: El código del malware se codifica intencionalmente con nombres de variables aleatorios y un método de codificación personalizado para dificultar su análisis.
  • Instalación de archivos DLL: Utiliza un binario legítimo y firmado de Microsoft, OneDrive.exe, para cargar un archivo DLL malicioso. Esta técnica permite que el malware parezca un proceso confiable.
  • Modificación del registro: Para garantizar la persistencia, NotDoor modifica la configuración del registro de Outlook. Desactiva las advertencias de seguridad relacionadas con las macros y suprime otros avisos, lo que le permite ejecutarse silenciosamente sin alertar al usuario.

El malware se ha atribuido al grupo de ciberamenazas ruso APT28, también conocido como Fancy Bear, patrocinado por el estado ruso. Los hallazgos fueron publicados por LAB52, la unidad de inteligencia de amenazas de la empresa española de ciberseguridad S2 Grupo.

NotDoor es un malware oculto escrito en Visual Basic para Aplicaciones (VBA), el lenguaje de scripting utilizado para automatizar tareas en las aplicaciones de Microsoft Office. Para evadir la detección del software de seguridad, NotDoor emplea varias técnicas sofisticadas:

Una vez activa, la puerta trasera crea un directorio oculto para almacenar archivos temporales, que luego se exfiltran a una dirección de correo electrónico controlada por el atacante antes de ser eliminados. El malware confirma su ejecución exitosa enviando devoluciones de llamada a un sitio webhook.

APT28 es un conocido grupo criminal vinculado a la Dirección Central de Inteligencia (GRU) del Estado Mayor ruso. Activo durante más de una década, el grupo es responsable de numerosos ciberataques de alto perfil, incluyendo la filtración de datos del Comité Nacional Demócrata (DNC) durante las elecciones presidenciales estadounidenses de 2016 e intrusiones en la Agencia Mundial Antidopaje (AMA).

La reciente introducción de esta herramienta demuestra la constante evolución del grupo y su capacidad para desarrollar estrategias innovadoras para evadir los sistemas de defensa contemporáneos. El malware NotDoor, según informó S2 Grupo, ya se ha utilizado ampliamente para poner en peligro la seguridad de múltiples empresas de diversos sectores económicos en los estados miembros de la OTAN.

Para protegerse contra esta amenaza, los expertos en seguridad recomiendan que las organizaciones desactiven las macros predeterminadas en sus sistemas, monitoreen atentamente cualquier actividad inusual en Outlook y examinen los desencadenadores basados en correo electrónico que podrían ser explotados por este malware.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Red Hot Cyber Conference 2026: Patrocinios abiertos para la quinta edición en Roma
Di Redazione RHC - 04/09/2025

La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...

¡La IA de Hexstrike desata el caos! Días cero explotados en tiempo récord.
Di Redazione RHC - 04/09/2025

El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...

LockBit 5.0: ¿Señales de un nuevo y posible «renacimiento»?
Di Pietro Melillo - 03/09/2025

LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...

¿Hubo terror en el vuelo de Ursula von der Leyen? ¡Aclaremos las cosas!
Di Giovanni Pollola - 02/09/2025

El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...

Violación de datos de Zscaler: Lecciones aprendidas sobre la evolución de las amenazas de SaaS
Di Ada Spinelli - 02/09/2025

La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...