Investigadores de Positive Technologies han documentado una campaña prolongada de ataques APT dirigida contra operadores de telecomunicaciones en Kirguistán y Tayikistán. La operación combina técnicas avanzadas, herramientas poco comunes de probable origen chino y dos backdoors diferentes —LuciDoor y MarsSnake— camuflados como componentes legítimos de Microsoft, con un patrón táctico que recuerda a la familia de amenazas UnsolicitedBooker de Asia Oriental.
Por qué los operadores de telecomunicaciones son un objetivo prioritario para las APT
Las empresas de telecomunicaciones son una de las dianas favoritas de los grupos de ciberespionaje. El control de esta infraestructura ofrece acceso a grandes volúmenes de datos de abonados, metadatos de comunicaciones y canales para interceptar o redirigir tráfico. Informes como el ENISA Threat Landscape y análisis de Mandiant o CrowdStrike coinciden en que el sector telecom se sitúa de forma recurrente entre los más atacados por amenazas persistentes avanzadas (APT), precisamente por el valor estratégico de su posición en la cadena de comunicaciones.
Una intrusión exitosa en un operador permite mantener vigilancia encubierta a largo plazo, identificar objetivos de alto valor y escalar hacia otros sectores —financiero, gubernamental o industrial— que dependen de la misma infraestructura de red.
Primera ola de ciberataques: phishing sobre tarifas móviles y despliegue de LuciDoor
La primera ola, detectada a finales de septiembre de 2025, se dirigió a operadores de Kirguistán mediante una campaña de phishing. Los atacantes utilizaron cuentas de correo en Hotmail y Outlook, haciéndose pasar por clientes interesados en tarifas móviles. Los mensajes incluían documentos adjuntos que, al abrirse, mostraban una imagen con la instrucción de “habilitar contenido”, buscando que el empleado activara macros maliciosas.
El phishing no siempre estaba afinado a una organización concreta: documentos preparados para una empresa podían enviarse a otra distinta. Sin embargo, la temática de telecomunicaciones resultaba coherente con la operativa diaria, lo que incrementaba la credibilidad de los correos en el contexto de la comunicación comercial habitual.
Perfrom.exe y el backdoor LuciDoor: camuflaje como OneDrive y carga en memoria
Al habilitar el macro, la estación de trabajo descargaba un loader denominado Perfrom.exe, presentado con el icono de OneDrive. Este componente descifraba una configuración protegida con RC4, creaba una ventana oculta con el título OneDriveLauncher y cargaba de forma reflectiva en memoria el módulo principal: el backdoor LuciDoor. Esta técnica de carga en memoria reduce la huella en disco y complica la detección por soluciones antivirus tradicionales basadas en archivos.
Una vez ejecutado, LuciDoor establecía conexión con su servidor de mando y control (C2), intentando salir por el proxy del sistema o servidores de reserva internos si el primer intento fallaba. El malware recopilaba información básica del sistema, descargaba herramientas adicionales y ofrecía capacidades de ejecución remota de comandos, manipulación de ficheros y exfiltración de datos, permitiendo a los atacantes mantener una presencia encubierta y flexible en la red comprometida.
Segunda ola de ataques: MarsSnake y la técnica DLL side-loading
A finales de noviembre de 2025 se observó una segunda oleada de ataques contra operadores de Kirguistán. El flujo de infección era similar, pero la carga final cambió: en lugar de LuciDoor, los atacantes desplegaron el backdoor MarsSnake, mencionado previamente en informes de ESET, aunque con escaso detalle público hasta la fecha.
Una característica relevante de MarsSnake es su arquitectura de configuración. Los parámetros de control —como direcciones C2 o tiempos de espera— pueden modificarse actualizando la configuración en el loader, sin necesidad de recompilar el ejecutable principal. Tras consolidarse en el sistema, MarsSnake recopila información de la máquina y calcula un identificador único de la víctima, que se envía a los operadores para priorizar y gestionar los objetivos de forma más eficiente.
DLL side-loading con Plasrv.exe y PDH.DLL: abusando de la confianza en binarios firmados
En esta fase se empleó la técnica de DLL side-loading. Un binario legítimo, Microsoft Plasrv.exe, era utilizado para cargar una biblioteca alterada denominada PDH.DLL. Windows, al confiar en un ejecutable firmado y seguir su orden de búsqueda de DLL, terminaba cargando la versión maliciosa en lugar de la original. Este enfoque permite evadir productos de seguridad que se centran en detectar ejecutables conocidos como maliciosos, aprovechando en su lugar un proceso legítimo como vehículo de ejecución.
Artefactos lingüísticos y uso de herramientas de posible origen chino
El análisis de los documentos de phishing reveló artefactos lingüísticos llamativos. Aunque el contenido visible estaba redactado en ruso, la configuración interna incluía parámetros en árabe, inglés y chino. Además, se identificaron campos que apuntan a un paquete ofimático configurado con localización china o a plantillas originalmente creadas en ese idioma.
Positive Technologies también destaca el uso de herramientas poco comunes de procedencia china y similitudes tácticas con la APT de la familia UnsolicitedBooker. No obstante, los analistas subrayan que una atribución directa basada únicamente en estos indicios no es fiable: diferentes actores pueden reutilizar las mismas herramientas, y algunos indicadores podrían haberse introducido deliberadamente como señuelos para desviar la atención de los investigadores.
Tercera ola: giro hacia Tayikistán y evolución de LuciDoor
En enero de 2026 la actividad se desplazó principalmente hacia operadores de telecomunicaciones en Tayikistán. La táctica de entrega cambió: en lugar de adjuntar documentos, los correos contenían un enlace a un archivo malicioso que seguía mostrando una imagen con la petición de activar el contenido, aunque esta vez en inglés. Este ajuste puede indicar el intento de reutilizar plantillas en otros entornos regionales o de ampliar el abanico de posibles víctimas.
Pese a la modificación del vector de entrega, los atacantes mantuvieron en su arsenal el backdoor LuciDoor, ahora con una configuración actualizada. Este hecho sugiere que la herramienta desempeña un papel central en la estrategia de presencia persistente dentro de las redes de los operadores, complementada por otros módulos y técnicas de movimiento lateral.
Impacto para el sector telecom y medidas prácticas de ciberseguridad
Los incidentes en Kirguistán y Tayikistán encajan en la tendencia global de aumento de ataques APT contra el sector de telecomunicaciones. La intrusión en estos entornos puede provocar fugas de información sensible de clientes y socios, interceptación o manipulación de tráfico, así como campañas posteriores dirigidas a organismos públicos y grandes corporaciones que dependen de las redes afectadas.
Mitigar estos riesgos exige combinar controles técnicos y medidas organizativas. Es esencial reforzar la seguridad del correo corporativo: filtrado avanzado de adjuntos y enlaces, bloqueo por defecto de macros en documentos externos y formación continua del personal para reconocer correos de phishing dirigidos a operadores móviles. Adicionalmente, la aplicación de políticas de control de aplicaciones (por ejemplo, AppLocker u opciones equivalentes) y la monitorización de cargadores y bibliotecas cargadas ayudan a reducir la eficacia del DLL side-loading.
Los operadores deberían desplegar capacidades de monitorización de red y de endpoints (EDR/NDR), apoyarse en fuentes actualizadas de Threat Intelligence para bloquear de forma ágil servidores C2 e indicadores de compromiso asociados a LuciDoor y MarsSnake, y realizar auditorías periódicas y segmentación de redes. La colaboración con CERT nacionales, centros sectoriales y proveedores de seguridad acorta el tiempo de permanencia de estas amenazas en la industria y limita el alcance de futuros incidentes.
Los ataques descritos constituyen una llamada de atención para los operadores de telecomunicaciones de Asia Central y de otras regiones. Invertir hoy en detección temprana, respuesta a incidentes y capacitación del personal es decisivo para resistir las próximas campañas APT. Entender técnicas como el phishing dirigido, el uso de backdoors especializados y el DLL side-loading permite anticiparse a los atacantes y fortalecer de forma sistemática la resiliencia de las infraestructuras de comunicaciones.
