En los últimos meses, investigadores en seguridad han desvelado la actividad de un actor persistente y sofisticado que opera bajo el sobrenombre de Silver Dragon. Este grupo ha sido relacionado con intrusiones dirigidas en Europa y el sudeste asiático desde mediados de 2024 y muestra técnicas y herramientas que lo sitúan dentro del paraguas táctico conocido como APT41, un colectivo vinculado históricamente a campañas de ciberespionaje y, en ocasiones, a operaciones con motivación financiera. Para profundizar en el análisis técnico, Check Point publicó un informe detallado que documenta estas operaciones y las cadenas de infección empleadas por el grupo: informe de Check Point.
El camino de entrada que utiliza Silver Dragon combina el aprovechamiento de servidores expuestos en Internet con campañas de phishing con archivos adjuntos maliciosos. Una vez dentro, los atacantes buscan mezclarse con la actividad legítima del sistema: secuestran servicios de Windows y usan cargas útiles que se ejecutan en memoria para evitar dejar rastros en disco. Esta capacidad para ocultar procesos y persistir en entornos comprometidos es un sello de operaciones avanzadas y bien financiadas, y explica por qué la detección temprana resulta tan compleja.
Entre las herramientas recurrentes en las intrusiones figura Cobalt Strike, un marco de post-explotación conocido por su flexibilidad y por ser aprovechado tanto por investigadores como por actores maliciosos. Silver Dragon emplea beacons de Cobalt Strike para mantener control sobre equipos infectados y combina esta capacidad con métodos de comunicación menos convencionales, como el túnel DNS, que permite enviar y recibir comandos evitando controles de red más estrictos.
El equipo de investigación identificó tres cadenas de infección principales. Dos de ellas parten de archivos comprimidos que contienen scripts por lotes y cargas en varias etapas; en una de estas rutas se observa el uso de un cargador .NET al que llaman MonikerLoader, responsable de descomprimir y ejecutar una segunda etapa directamente en memoria. En la otra, un cargador denominado BamboLoader —un binario C++ fuertemente ofuscado que se registra como servicio de Windows— descifra y descomprime shellcode que luego inyecta en procesos legítimos como taskhost.exe. Ambas rutas muestran solapamientos operativos y sugieren una infraestructura reutilizable diseñada para la evasión y la versatilidad.
La tercera vía es una campaña de phishing focalizada, con mayor incidencia reportada en Uzbekistán, que emplea accesos directos de Windows (archivos LNK) como señuelo. Estos atajos activan comandos que ejecutan código PowerShell, desencadenando la extracción y ejecución de múltiples ficheros: un documento señuelo para distraer al usuario, un ejecutable legítimo vulnerable a sideloading (GameHook.exe), la DLL maliciosa que actúa como BamboLoader y un archivo cifrado que contiene la carga útil de Cobalt Strike. En la práctica, al abrirse el señuelo el usuario no percibe actividad anómala mientras, en segundo plano, se carga y ejecuta la herramienta maliciosa.
Los operadores de Silver Dragon no se quedan solo en el acceso inicial: despliegan una batería de utilidades para moverse lateralmente, recopilar información y mantener persistencia. Entre ellas aparecen herramientas de monitorización de pantalla (.NET) para capturar capturas periódicas y la posición del cursor, utilidades SSH para ejecución remota y transferencia de archivos, y un backdoor que interactúa con Google Drive como canal de mando y control. Este backdoor sube «latidos» con información básica del equipo y usa extensiones de fichero como señalizadores para distintos tipos de tareas, enviando resultados en formatos que facilitan la sincronización con el servidor del atacante en la nube.
La atribución hacia APT41 no se apoya sólo en la geopolítica visible en las víctimas; emerge de coincidencias en el modo de operar, scripts de instalación posexplotación ya observados en campañas anteriores y mecanismos criptográficos en loaders que han sido asociados previamente a actividad con nexos en China. Google Cloud también ha documentado intrusiones de APT41 y su uso de múltiples exploits en campañas globales, lo que ayuda a contextualizar la persistencia y adaptabilidad de este actor: análisis de Google Cloud. Para comprender mejor la organización y tácticas que se atribuyen a grupos como APT41, el repositorio de MITRE ofrece referencias útiles sobre su clasificación y técnicas: MITRE APT41 y sobre técnicas específicas como AppDomain hijacking: AppDomain hijacking (MITRE).
¿Qué implicaciones prácticas deja este panorama para organizaciones y responsables de seguridad? En primer lugar, hay que reconocer que los vectores combinados —exposición de servicios en Internet y spear-phishing— requieren una estrategia que sea tanto preventiva como basada en detección. El parcheo y la reducción de la superficie de ataque en servidores expuestos siguen siendo medidas básicas pero críticas, mientras que las soluciones de filtrado y sandboxing para adjuntos y la monitorización de comportamiento pueden interceptar muchas cadenas antes de que desemboquen en cargas en memoria. Además, la detección de patrones como DLL sideloading, inyección en procesos legítimos y tráfico DNS anómalo debe formar parte de las reglas de monitoreo y respuesta.
Por último, el caso de Silver Dragon recuerda que las amenazas persistentes se actualizan constantemente: prueban nuevas técnicas, combinan infraestructuras y reutilizan componentes con ligeras variaciones para esquivar firmas estáticas. La comunidad de seguridad comparte inteligencia y herramientas para mitigar estos riesgos, por lo que mantenerse informado a través de análisis públicos y avisos de proveedores y organismos es esencial. Informes como el de Check Point y publicaciones técnicas de plataformas reputadas permiten a equipos defensores adaptar reglas, indicadores de compromisos y playbooks de respuesta con información fresca y corroborada.
Si quieres profundizar en este tipo de campañas y las defensas recomendadas, los reportes técnicos y las bases de conocimiento de proveedores y organizaciones como Check Point, Google Cloud y MITRE son un buen punto de partida: Check Point, Google Cloud y MITRE ATT&CK.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...