En los últimos meses los equipos de respuesta y análisis de amenazas han ido encendiendo luces de alarma sobre una campaña sostenida que, al menos desde diciembre de 2025, ha venido atacando principalmente a instituciones del sector educativo y sanitario en Estados Unidos. Los investigadores de Cisco Talos han agrupado esta actividad bajo la etiqueta UAT-10027 y han identificado un nuevo implante, bautizado como Dohdoor, que introduce técnicas modernas para permanecer invisible y moverse con libertad dentro de las redes comprometidas.
El vector inicial aún no se ha confirmado de forma absoluta, pero el patrón descrito por Talos apunta a escenarios típicos de ingeniería social: un correo o documento malicioso que desemboca en la ejecución de un script de PowerShell. Ese script actúa como puerta de entrada, bajando y ejecutando a continuación un archivo por lotes desde un servidor de preparación que, a su vez, descarga una biblioteca dinámica de Windows (DLL) con nombres que buscan pasar desapercibidos, como "propsys.dll" o "batmeter.dll".
La DLL maliciosa —el propio Dohdoor— no llega sola: se aprovecha de procesos legítimos del sistema para cargarse. En concreto utiliza la técnica conocida como DLL side‑loading, que consiste en aprovechar ejecutables legítimos de Windows (Fondue.exe, mblctr.exe, ScreenClippingHost.exe, entre otros) para forzar la carga de la DLL maliciosa en el contexto de un proceso confiable. Puedes ver la descripción técnica de esta táctica en la base de conocimientos de MITRE ATT&CK: DLL side‑loading (T1574.001).
Una vez establecida la puerta trasera, Dohdoor emplea DNS-over-HTTPS (DoH) como canal de mando y control (C2), lo que complica enormemente la detección por medios tradicionales. Al encapsular las consultas DNS dentro de tráfico HTTPS hacia infraestructuras públicas, el tráfico malicioso se mezcla con comunicaciones legítimas y aparece como conexiones cifradas a servicios de confianza. Cisco Talos destaca además que los operadores esconden sus servidores C2 detrás de la plataforma de Cloudflare, de forma que las máquinas comprometidas contactan direcciones IP de confianza global, algo que reduce el rastro que dejan en los sistemas de monitorización de red.
El uso de DoH no es intrínsecamente malicioso, pero su abuso plantea un desafío para defensores: los mecanismos tradicionales que analizan nombres de dominio o redirigen consultas a "sinkholes" quedan en gran medida inútiles frente a un túnel DNS cifrado por HTTPS. Si quieres entender cómo funcionan realmente estas resoluciones DNS sobre HTTPS desde el punto de vista técnico, la documentación de Cloudflare es un buen punto de partida: DNS-over-HTTPS – Cloudflare.
Otra capa de sigilo en Dohdoor es su capacidad de evadir soluciones de endpoint. Los investigadores observaron que el malware realiza técnicas para anular los hooks de usuario en ntdll.dll y, de ese modo, esquivar las detecciones que muchas EDR implementan al monitorizar llamadas a APIs de Windows. Este enfoque de "desenganchar" o evitar los hooks ha sido documentado por equipos de seguridad: explicación técnica de MDSEC.
Además, Dohdoor no se contenta con permanecer como una simple puerta trasera: su propósito operativo es recuperar y ejecutar cargas posteriores directamente en memoria. En los incidentes analizados por Talos, la carga descargada y ejecutada en memoria fue una instanciación de Cobalt Strike Beacon, una herramienta de post‑explotación que los atacantes usan para movimiento lateral, exfiltración y persistencia en entornos comprometidos.
En cuanto a la autoría, Talos señala similitudes tácticas entre el conjunto de herramientas usadas por UAT-10027 y familias de malware asociadas en el pasado a grupos norcoreanos, como Lazarloader, pero no atribuye de forma definitiva la campaña a un actor concreto. La decisión de mantener la cautela en la atribución es importante: aunque existen coincidencias técnicas, la elección de víctimas —educación y salud— y otros indicadores operacionales no encajan del todo con el perfil público de ciertos grupos. Es cierto, sin embargo, que actores de Corea del Norte han atacado en el pasado objetivos sanitarios y educativos con otras herramientas, lo que añade contexto a la comparación; por ejemplo, sobre el interés de ciertos APTs norcoreanos en hospitales y universidades puedes consultar análisis sobre Kimsuky o campañas con ransomware Maui: Global Cyber Alliance – Kimsuky y el sector educativo y recursos sobre la amenaza a hospitales.
¿Qué deben hacer los equipos de seguridad ante una amenaza como esta? No hay una única bala de plata, pero varias prácticas ayudan a reducir la superficie de riesgo y mejorar la detección. Primero, reforzar la formación y las defensas contra phishing porque la cadena de ataque descrita comienza, muy probablemente, con engaños dirigidos a usuarios. Segundo, monitorizar y analizar TLS saliente y la resolución de nombres con herramientas que puedan inspeccionar DoH o forzar el uso de resoluciones DNS corporativas controladas; la visibilidad de las conexiones cifradas es clave. Tercero, revisar políticas de allowlisting para impedir la ejecución arbitraria de binarios y limitar los privilegios de las cuentas y servicios que puedan cargar DLLs. Por último, las soluciones EDR deben actualizarse y complementarse con controles que busquen anomalías en el comportamiento en memoria, no sólo firmas estáticas.
Las organizaciones públicas y privadas que operan en educación y salud deberían tomarse esta campaña como un recordatorio claro de que la sofisticación de los atacantes sigue creciendo: combinan técnicas de evasión de red, abuso de infraestructuras de terceros y métodos de ejecución en memoria para permanecer ocultos el mayor tiempo posible. Cisco Talos ofrece más detalles técnicos sobre la investigación y los indicadores de compromiso que puede aprovechar un equipo de respuesta a incidentes: Informe técnico de Talos sobre Dohdoor.
En un mundo donde los atacantes explotan tanto las nuevas capacidades de protocolo como los servicios legítimos para enmascarar su tráfico, la clave para las organizaciones es aumentar la visibilidad, endurecer los controles y combinar la capacitación humana con soluciones técnicas capaces de detectar anomalías en capas superiores —no sólo en consultas DNS o firmas conocidas—. La amenaza existe ahora; actuar antes de que el siguiente incidente afecte a pacientes o estudiantes es una responsabilidad compartida entre administradores, proveedores de seguridad y decisores institucionales.
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...