El grupo de amenazas persistentes avanzadas (APT) UnsolicitedBooker ha vuelto a situarse en el radar de la inteligencia de ciberseguridad tras ser vinculado a una nueva ola de ataques dirigidos a empresas de telecomunicaciones en Kirguistán y Tayikistán. Este movimiento estratégico marca un giro significativo respecto a campañas anteriores centradas en entidades de Arabia Saudí, consolidando la expansión geográfica del actor y su evolución operativa.
De acuerdo con un informe publicado por la firma rusa Positive Technologies, el grupo ha desplegado dos puertas traseras distintas, bautizadas como LuciDoor y MarsSnake, ambas diseñadas para establecer persistencia, exfiltrar información sensible y permitir control remoto completo de los sistemas comprometidos.
Un actor alineado con China en evolución constante
UnsolicitedBooker fue documentado por primera vez por ESET en mayo de 2025, cuando se le atribuyó un ataque dirigido contra una organización internacional no identificada en Arabia Saudí. En aquella ocasión, el grupo utilizó la puerta trasera MarsSnake, evidenciando capacidades avanzadas en espionaje cibernético.
Los investigadores estiman que la actividad del grupo se remonta al menos a marzo de 2023, con un historial de operaciones dirigidas a organizaciones en Asia, África y Oriente Medio. Además, análisis posteriores han identificado solapamientos tácticos con otros actores como los “Piratas Espaciales” y campañas previas asociadas a la puerta trasera Zardoor, lo que sugiere reutilización de herramientas y posible intercambio de recursos dentro del ecosistema APT alineado con intereses chinos.
Cadena de ataque: phishing con Microsoft Office y macros maliciosas
Los ataques más recientes, detectados a finales de septiembre de 2025, comenzaron con campañas de phishing cuidadosamente diseñadas. Las víctimas recibían correos electrónicos que incluían documentos de Microsoft Office con temática relacionada con planes tarifarios de proveedores de telecomunicaciones, un señuelo creíble dentro del sector objetivo.
Al abrir el archivo, el documento solicitaba al usuario “Habilitar contenido”, activando así una macro maliciosa que ejecutaba un cargador en C++ denominado LuciLoad. Este loader actuaba como etapa intermedia para desplegar LuciDoor en el sistema comprometido.
En noviembre de 2025, el grupo repitió el mismo modus operandi, aunque esta vez empleó un cargador distinto, identificado como MarsSnakeLoader, para instalar la puerta trasera MarsSnake. Posteriormente, en enero de 2026, la campaña evolucionó: en lugar de adjuntar directamente los documentos maliciosos, los correos incluían enlaces a los archivos señuelo, una técnica orientada a evadir filtros de seguridad basados en análisis de adjuntos.
Capacidades técnicas de LuciDoor y MarsSnake
LuciDoor, desarrollado en C++, establece comunicación cifrada con un servidor de mando y control (C2). Una vez activo, recopila información básica del sistema —incluyendo detalles del host y configuraciones— y exfiltra los datos en formato cifrado. También es capaz de:
-
Ejecutar comandos arbitrarios mediante cmd.exe
-
Escribir archivos en el sistema comprometido
-
Subir archivos al servidor C2
-
Procesar respuestas remotas para ampliar funcionalidades
Por su parte, MarsSnake ofrece capacidades similares, permitiendo la recopilación de metadatos del sistema, ejecución remota de comandos y lectura/escritura de archivos en disco. La modularidad y flexibilidad de ambas puertas traseras refuerzan la hipótesis de que el grupo mantiene un ciclo activo de desarrollo y mejora de su arsenal.
 |
| Macros en el documento |
Uso de routers comprometidos y falsa atribución geográfica
Un detalle particularmente relevante revelado por Positive Technologies es el uso de routers hackeados como infraestructura C2. Este enfoque no solo complica la atribución, sino que además dificulta la detección, al ocultar la actividad maliciosa tras dispositivos aparentemente legítimos.
En algunos ataques, la infraestructura imitaba la de Rusia, lo que podría interpretarse como un intento deliberado de desviar investigaciones o generar confusión geopolítica. Este tipo de técnicas de falsa bandera se ha convertido en una tendencia creciente dentro del panorama APT global.
Curiosamente, aunque el grupo inicialmente utilizó LuciDoor, posteriormente migró a MarsSnake, y en 2026 volvió a emplear LuciDoor, lo que demuestra una estrategia dinámica basada en rotación de herramientas para evitar correlaciones automáticas en sistemas de detección.
Artefactos LNK y vínculos con herramientas de pentesting
Positive Technologies también identificó el uso de archivos LNK disfrazados como documentos Word (*.doc.lnk), los cuales ejecutaban scripts por lotes y posteriormente scripts Visual Basic para lanzar MarsSnake sin necesidad de un loader adicional.
El archivo señuelo presenta similitudes con artefactos asociados a la herramienta pública de pentesting FTPlnk_phishing, debido a indicadores idénticos en tiempos de creación y Machine ID. Este patrón recuerda a tácticas utilizadas por Mustang Panda en ataques contra Tailandia en 2022, reforzando la conexión con actores de origen chino.
PseudoSticky: imitación estratégica en Rusia
Paralelamente, ha emergido un nuevo actor denominado PseudoSticky, que imita deliberadamente las tácticas del grupo pro-ucraniano Sticky Werewolf (también conocido como Angry Likho, MimiStick y PhaseShifters). Activo desde noviembre de 2025, PseudoSticky ha dirigido ataques contra sectores minorista, construcción e investigación en Rusia.
Las infecciones se producen mediante phishing con archivos adjuntos maliciosos que despliegan herramientas como RemcosRAT y DarkTrack RAT, buscando control remoto completo y exfiltración masiva de datos. Investigaciones del proveedor ruso F6 sugieren que el actor podría estar empleando modelos de lenguaje (LLMs) para desarrollar cadenas de ataque capaces de distribuir DarkTrack RAT a través de PureCrypter.
Cloud Atlas y explotación de CVE-2018-0802
Otro actor activo contra entidades rusas es Cloud Atlas, que distribuye malware personalizado como VBShower y VBCloud mediante documentos Word maliciosos.
La empresa Solar indicó que estos documentos cargan plantillas remotas desde servidores C2 y explotan la vulnerabilidad CVE-2018-0802, una falla conocida en Microsoft Office que permite ejecución remota de código. Posteriormente, el malware se descarga utilizando canales alternativos, reforzando la persistencia.
Escalada estratégica y sofisticación técnica
La actividad reciente de UnsolicitedBooker confirma una expansión estratégica hacia Asia Central y una clara madurez operativa en su cadena de ataque. El uso combinado de phishing dirigido, loaders personalizados en C++, rotación de backdoors, infraestructura C2 encubierta y técnicas de falsa atribución posiciona al grupo como una amenaza significativa para el sector telecomunicaciones y más allá.
En un contexto geopolítico volátil, la convergencia de actores como UnsolicitedBooker, PseudoSticky y Cloud Atlas demuestra que el espionaje cibernético y las campañas de desinformación técnica continúan evolucionando en complejidad y alcance. Para las organizaciones, reforzar la seguridad del correo electrónico, deshabilitar macros por defecto, aplicar parches críticos y monitorizar tráfico C2 son medidas imprescindibles para mitigar este tipo de amenazas avanzadas.
Fuente: The Hacker News
