Una operación de ciberespionaje reciente pone de manifiesto cómo los grupos con experiencia en persistencia y sigilo siguen explotando aplicaciones legítimas y servicios públicos para evitar la detección. Según el reporte de investigación, atacantes vinculados con el colectivo conocido como Tropic Trooper han utilizado una versión troceada del lector SumatraPDF como vector inicial para desplegar un agente post-explotación llamado AdaptixC2 Beacon, y posteriormente han establecido acceso remoto aprovechando la funcionalidad de túneles de Visual Studio Code.
El modus operandi combina técnicas clásicas y herramientas modernas: el usuario es atraído con un archivo ZIP que contiene señuelos militares y un ejecutable malicioso que se hace pasar por SumatraPDF. Al abrir el señuelo se muestra un PDF de distracción mientras, en segundo plano, se descarga y ejecuta código cifrado a través de un cargador identificado como TOSHIS (un derivado del conocido Xiangoop). Ese cargador orquesta la cadena de carga que termina con un implant que usa GitHub como canal de mando y control, y que sólo escala a un acceso persistente con túneles de VS Code cuando el host resulta de interés para el atacante.
Hay varios elementos de riesgo y lecciones prácticas. Primero, el uso de herramientas legítimas como plataformas C2 (GitHub) y servicios de administración remota (VS Code Tunnels) complica la detección porque el tráfico parece, a simple vista, tráfico legítimo. Segundo, el empleo de un lector PDF ligero y no firmado en entornos corporativos muestra que el control sobre las aplicaciones de usuario y las descargas externas es crítico. Tercero, la campaña selecciona víctimas según idioma y región, apuntando principalmente a comunidades de habla china en Taiwán y a individuos en Corea del Sur y Japón, lo que indica objetivos geopolíticos y sectoriales concretos.
Las implicaciones para organizaciones y usuarios son claras: confiar únicamente en firmas estáticas o en bloqueos por nombre de archivo es insuficiente. La defensa requiere controles en varios niveles: verificación de integridad y origen de los instaladores, políticas de allowlisting de aplicaciones, filtrado de egress hacia repositorios o IPs sospechosas, y telemetría que detecte comportamiento anómalo como procesos que despliegan shells cifrados, persistencia inusual o conexiones recurrentes a plataformas públicas usadas como C2.
En términos operativos, los equipos de respuesta e investigación deberían priorizar la búsqueda de artefactos específicos (por ejemplo, rastros del loader TOSHIS/Xiangoop, la presencia de AdaptixC2 o conexiones a la IP de staging reportada 158.247.193.100) y capturar memoria y registros de red antes de remediar. En entornos donde se permita VS Code, es recomendable revisar la configuración de acceso remoto y auditar la creación de tunnels, puesto que esos canales legítimos pueden convertirse en vectores de control persistente. Para entender la funcionalidad y riesgos de la característica, la documentación oficial de VS Code sobre túneles es un buen punto de partida: Visual Studio Code - Tunnels.
Para reducir la probabilidad de compromiso y la superficie de ataque, conviene reforzar hábitos y controles básicos: descargar software únicamente desde fuentes oficiales y verificar firmas/digestos cuando estén disponibles, aplicar segmentación de red y políticas de salida (egress) que limiten conexiones directas a repositorios públicos desde endpoints sensibles, y desplegar detección basada en comportamiento que identifique patrones como ejecución de binarios no habituales que lanzan payloads en memoria. El lector SumatraPDF oficial y su punto de descarga pueden consultarse aquí para contrastar versiones legítimas: SumatraPDF - sitio oficial.
Si su organización detecta actividad relacionada con esta campaña, es prudente tratarla como incidente: aislar el equipo afectado, preservar artefactos para análisis forense, y buscar indicadores como procesos de VS Code Server no autorizados, conexiones a GitHub que no correspondan a actividad de desarrollo y comunicaciones con IPs/hostnames sospechosos. En la práctica, también conviene actualizar y endurecer las reglas de EDR/AV para capturar carga en memoria y técnicas de loader dinámico, y revisar controles de acceso a herramientas de desarrollo remoto que podrían ser abusadas.
Esta campaña es una nueva evidencia de que los actores avanzados mezclan técnicas de bajo coste y alto sigilo con servicios públicos para operar bajo el radar. La postura defensiva debe evolucionar en paralelo: más monitoreo basado en comportamiento, menos confianza implícita en herramientas de uso cotidiano, y controles de red y aplicaciones más estrictos son las medidas que reducen significativamente el riesgo de que un señuelo aparentemente inocuo se convierta en una puerta trasera persistente.
Para una cobertura periodística y técnica complementaria sobre esta intrusión puede consultarse la nota informativa de prensa que cubrió el hallazgo: BleepingComputer — Tropic Trooper uses trojanized SumatraPDF to deliver AdaptixC2, y la investigación original del equipo de amenazas que descubrió la campaña, cuyo análisis profundiza en indicadores y muestras.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...