Investigadores de ciberseguridad han identificado una campaña constante de ciberespionaje que aprovecha recursos comunes en entornos corporativos y gubernamentales. El actor, conocido como Silver Dragon, ejecuta intrusiones dirigidas contra ministerios y organismos estatales, utilizando técnicas que se mimetizan con la actividad legítima de la red para prolongar su presencia dentro de las víctimas. Esta operación ha mostrado actividad desde mediados de 2026 y se caracteriza por el uso creativo de servicios en la nube y componentes del sistema operativo.
En lugar de comunicarse con servidores sospechosos, los atacantes esconden su canal de mando y control en plataformas confiables, reduciendo la capacidad de las defensas tradicionales para detectar el tráfico malicioso. Al mismo tiempo, manipulan procesos locales de Windows para ejecutar su código bajo nombres de confianza, lo que complica la visibilidad y el análisis forense.
Vector de entrada y metodología general
Las intrusiones de Silver Dragon suelen comenzar por dos caminos principales: correos de phishing con documentos armados y la explotación de servidores expuestos a Internet.
Una vez dentro, los atacantes escalan privilegios, se mueven lateralmente y despliegan herramientas adicionales para consolidar el acceso. El objetivo evidente es la recolección sostenida de inteligencia, no la destrucción o el lucro directo.
Fases de compromiso
En la fase inicial los operadores emplean archivos maliciosos y enlaces que suplantan comunicaciones oficiales; posteriormente, cuando cuentan con acceso, introducen cargas útiles como Cobalt Strike para control remoto y SSHcmd para ejecutar comandos y transferir archivos.
A través de estas herramientas realizan tareas de reconocimiento y exfiltración mientras evitan patrones que disparen alertas.
Técnicas de persistencia
Una táctica clave consiste en el secuestro de servicios legítimos de Windows: los atacantes detienen y recrean procesos como Windows Update, servicios relacionados con Bluetooth o utilidades de .NET Framework para cargar código malicioso bajo nombres confiables. Esa maniobra permite que el malware se mezcle con el «ruido» normal del sistema —es decir, con la actividad esperada— y dificulta la detección mediante firmas o reglas simples.
GearDoor y el abuso de la nube como C2
En el centro de la operación se encuentra un backdoor desarrollado en .NET llamado GearDoor. En vez de depender de infraestructuras externas obvias, GearDoor utiliza cuentas de Google Drive controladas por los atacantes como su canal de comando y control (C2). Cada equipo comprometido crea una carpeta dedicada en la nube, sube latidos periódicos y descarga instrucciones que aparentan ser archivos ordinarios.
Ventajas del enfoque
Al emplear una plataforma de almacenamiento legítima, el tráfico de control y exfiltración recrea patrones de uso normales de SaaS, dificultando que los sistemas de monitoreo distingan actividad maliciosa de acceso legítimo. Además, toda la información robada se consolida en esas cuentas, facilitando la recolección centralizada sin recurrir a dominios o IPs sospechosas.
Herramientas complementarias y señales de compromiso
Además de GearDoor, el grupo ha utilizado implantes como SilverScreen para capturar pantallazos periódicos y utilidades ligeras para ejecutar comandos remotos. En varios incidentes finales se observó el despliegue de Cobalt Strike como payload definitivo, configurado para mimetizar su tráfico con protocolos internos y consultas DNS.
Indicadores técnicos
Los analistas han identificado patrones repetidos en rutinas de descifrado, solapamientos de herramientas y marcas temporales que coinciden con el huso horario de China, elementos que apuntan a una relación con el ecosistema conocido como APT41. Si bien la atribución siempre exige cautela, la convergencia de evidencia técnica refuerza la hipótesis de un actor estatal bien financiado y adaptable.
Recomendaciones para detección y mitigación
Para reducir el riesgo, los especialistas señalan la necesidad de parchear sistemas expuestos, fortalecer las defensas de correo electrónico y supervisar cambios en servicios de Windows. También es crítico monitorizar el uso de cuentas cloud corporativas y analizar patrones de acceso a plataformas como Google Drive que no encajen con el comportamiento normal. La adopción de listas de control, análisis de integridad y alertas por comportamiento puede disminuir la ventana de permanencia del atacante.
Prioridades operacionales
Las organizaciones deben priorizar la segmentación de redes, la gestión de identidades y la respuesta rápida a anomalías en servicios esenciales. Implementar controles de acceso más estrictos en las cuentas cloud, habilitar registros detallados y revisar la creación de carpetas compartidas ayudará a detectar intentos de uso malicioso de plataformas legítimas.
Su estrategia subraya una tendencia mayor: actores avanzados integran su infraestructura en servicios confiables para evadir la detección, por lo que la protección actual exige observar tanto las amenazas tradicionales como el abuso de plataformas legítimas.
