Red Hot Cyber, The cybersecurity news

Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar

NotDoor llega: la puerta trasera de APT28 para Microsoft Outlook

Redazione RHC : 4 septiembre 2025 10:03

Un sistema avanzado de puerta trasera asociado con el conocido grupo ruso de ciberespionaje APT28 permite a los atacantes descargar datos, cargar archivos y ejecutar comandos en equipos infectados. Este sistema de puerta trasera de última generación, descubierto recientemente, se centra en Microsoft Outlook, lo que permite a los atacantes robar información y controlar el equipo del usuario afectado.

La puerta trasera está diseñada para monitorizar los correos electrónicos entrantes de la víctima en busca de palabras clave específicas, como «Informe diario». Cuando se detecta un correo electrónico que contiene la palabra clave, el malware se activa, lo que permite a los atacantes ejecutar comandos maliciosos. El nombre «NotDoor» fue acuñado por investigadores debido al uso de la palabra «Nothing» en el código del malware.

El malware explota astutamente la funcionalidad legítima de Outlook para permanecer oculto y asegurar su persistencia. Según S2 Grupo, utiliza activadores VBA basados en eventos, como Application_MAPILogonComplete, que se activa al iniciar Outlook, y Application_NewMailEx, que se activa al recibir nuevos correos electrónicos. Las principales características del malware son las siguientes:

  • Ofuscación de código: El código del malware se codifica intencionalmente con nombres de variables aleatorios y un método de codificación personalizado para dificultar su análisis.
  • Instalación de archivos DLL: Utiliza un binario legítimo y firmado de Microsoft, OneDrive.exe, para cargar un archivo DLL malicioso. Esta técnica permite que el malware parezca un proceso confiable.
  • Modificación del registro: Para garantizar la persistencia, NotDoor modifica la configuración del registro de Outlook. Desactiva las advertencias de seguridad relacionadas con las macros y suprime otros avisos, lo que le permite ejecutarse silenciosamente sin alertar al usuario.

El malware se ha atribuido al grupo de ciberamenazas ruso APT28, también conocido como Fancy Bear, patrocinado por el estado ruso. Los hallazgos fueron publicados por LAB52, la unidad de inteligencia de amenazas de la empresa española de ciberseguridad S2 Grupo.

NotDoor es un malware oculto escrito en Visual Basic para Aplicaciones (VBA), el lenguaje de scripting utilizado para automatizar tareas en las aplicaciones de Microsoft Office. Para evadir la detección del software de seguridad, NotDoor emplea varias técnicas sofisticadas:

Una vez activa, la puerta trasera crea un directorio oculto para almacenar archivos temporales, que luego se exfiltran a una dirección de correo electrónico controlada por el atacante antes de ser eliminados. El malware confirma su ejecución exitosa enviando devoluciones de llamada a un sitio webhook.

APT28 es un conocido grupo criminal vinculado a la Dirección Central de Inteligencia (GRU) del Estado Mayor ruso. Activo durante más de una década, el grupo es responsable de numerosos ciberataques de alto perfil, incluyendo la filtración de datos del Comité Nacional Demócrata (DNC) durante las elecciones presidenciales estadounidenses de 2016 e intrusiones en la Agencia Mundial Antidopaje (AMA).

La reciente introducción de esta herramienta demuestra la constante evolución del grupo y su capacidad para desarrollar estrategias innovadoras para evadir los sistemas de defensa contemporáneos. El malware NotDoor, según informó S2 Grupo, ya se ha utilizado ampliamente para poner en peligro la seguridad de múltiples empresas de diversos sectores económicos en los estados miembros de la OTAN.

Para protegerse contra esta amenaza, los expertos en seguridad recomiendan que las organizaciones desactiven las macros predeterminadas en sus sistemas, monitoreen atentamente cualquier actividad inusual en Outlook y examinen los desencadenadores basados en correo electrónico que podrían ser explotados por este malware.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...