El grupo de amenazas avanzadas APT24 (Pitty Tiger), vinculado a intereses chinos, ha sido señalado por Google Threat Intelligence Group (GTIG) como responsable de una campaña de ciberespionaje de varios años, centrada en el robo de propiedad intelectual en organizaciones de Estados Unidos y Taiwán. El eje técnico de la operación es un malware hasta ahora poco documentado, denominado BadAudio, desplegado mediante una combinación de ataques a la cadena de suministro, técnicas watering hole y phishing dirigido.
Quién es APT24 y qué tipo de información busca
Según GTIG, APT24 mantiene un foco claro en entidades con información tecnológica y comercial de alto valor. Entre las víctimas se incluyen organismos gubernamentales, empresas de sanidad, construcción e ingeniería, minería, telecomunicaciones y diversas organizaciones sin ánimo de lucro. El objetivo no es el lucro inmediato, sino el acceso persistente a documentación técnica, resultados de I+D, hojas de ruta comerciales y datos sobre socios y contratos.
Este patrón encaja con las tendencias descritas en informes públicos como Verizon DBIR o Mandiant M‑Trends, donde se observa que los grupos APT orientados al ciberespionaje estatal priorizan el robo de conocimiento estratégico frente a ataques de ransomware ruidosos y fácilmente detectables.
Tácticas avanzadas: watering hole y ataque a la cadena de suministro
JavaScript malicioso y ventanas de actualización falsas
Entre noviembre de 2022 y septiembre de 2025, APT24 comprometió más de 20 sitios web legítimos en diferentes dominios, aplicando la técnica watering hole. El código fuente de estas páginas fue modificado para incluir JavaScript malicioso capaz de realizar fingerprinting de equipos Windows, recopilando parámetros del navegador y del sistema operativo.
Si el perfil del visitante coincidía con los criterios definidos por los atacantes, el script mostraba una falsa ventana emergente de “actualización de software”. Al descargar el supuesto instalador, la víctima recibía en realidad el loader BadAudio, iniciando así la fase de compromiso de la estación de trabajo.
Compromiso de proveedor de JavaScript: ataque a la cadena de suministro
Desde julio de 2024, APT24 pasó a un vector aún más escalable: el ataque a la cadena de suministro. El grupo vulneró de forma reiterada una empresa de marketing de Taiwán que suministraba bibliotecas JavaScript a numerosos clientes. Los atacantes inyectaron código malicioso en una biblioteca muy utilizada y registraron, en paralelo, un dominio similar al de un CDN legítimo para alojar el script manipulado.
El resultado fue la comprometación de más de 1000 dominios que integraban dicha biblioteca, un escenario comparable a incidentes de alto perfil como SolarWinds o CCleaner, donde al comprometer un único componente central se obtiene acceso potencial a decenas o cientos de organizaciones.
Abuso de JSON y telemetría encubierta
En una segunda oleada, entre finales de 2024 y julio de 2025, la misma empresa taiwanesa fue nuevamente utilizada como vector, esta vez mediante un archivo JSON modificado. En él, APT24 ocultó JavaScript fuertemente ofuscado que recopilaba información de los visitantes y la enviaba, codificada en base64, a la infraestructura de mando y control de la operación. Este enfoque permitía un reconocimiento discreto antes de desplegar cargas más intrusivas.
Phishing dirigido y uso abusivo de servicios en la nube
En paralelo a los ataques web, desde agosto de 2024 el grupo ejecutó campañas de phishing altamente dirigidas. Los correos se hacían pasar por comunicaciones de supuestas organizaciones de protección animal, reforzando su credibilidad y reduciendo la sospecha de los destinatarios.
Los mensajes incorporaban píxeles de seguimiento invisibles para registrar aperturas y detectar usuarios más propensos a interactuar con contenido malicioso. Además, parte de la infraestructura de la campaña se apoyaba en servicios legítimos en la nube, como Google Drive u OneDrive, lo que dificulta el filtrado, ya que el tráfico se confunde con el flujo normal de trabajo corporativo.
BadAudio: malware sigiloso basado en DLL sideloading
DLL search order hijacking para eludir defensas
BadAudio actúa como un loader muy ofuscado diseñado para desplegar de forma silenciosa componentes adicionales. La técnica clave es el DLL search order hijacking o DLL sideloading: la DLL maliciosa se coloca en un directorio desde el que una aplicación legítima de Windows la carga automáticamente, siguiendo el orden estándar de búsqueda de bibliotecas.
Con ello, el código malicioso se ejecuta bajo el contexto de un proceso confiable, lo que complica su detección mediante soluciones de seguridad tradicionales centradas en la reputación de procesos y firmas estáticas.
Ofuscación avanzada y baja tasa de detección
El código de BadAudio se encuentra dividido en múltiples bloques supervisados por un módulo “orquestador” central, dificultando tanto el análisis automatizado como el análisis manual por parte de analistas forenses. Tras ejecutarse, el malware reúne datos básicos del sistema (nombre de host, usuario, arquitectura) y los cifra con un clave AES embebida antes de enviarlos al servidor de mando y control.
A partir de ahí, el servidor devuelve una carga útil cifrada que BadAudio descifra y ejecuta directamente en memoria, de nuevo usando DLL sideloading, minimizando así la huella en disco. GTIG señala que, de ocho muestras identificadas, solo dos son detectadas por más de 25 motores antivirus en VirusTotal, mientras que variantes fechadas en diciembre de 2022 apenas son identificadas por cinco soluciones de seguridad o menos, ejemplo claro de la eficacia de la ofuscación y del uso selectivo del malware.
Lecciones para empresas: cómo mitigar amenazas APT como APT24
La operación de APT24 con BadAudio ilustra un modelo de ciberespionaje multinivel: compromiso de la cadena de suministro, ataques watering hole, phishing dirigido y loaders de baja visibilidad. Para las organizaciones de sectores críticos, esto evidencia la necesidad de pasar de controles aislados a una estrategia integral de ciberseguridad, que incluya gestión de riesgos de terceros, monitorización continua de activos web, protección avanzada del correo y análisis de comportamiento en endpoints y servidores.
Entre las medidas recomendadas destacan: reforzar las revisiones de bibliotecas y scripts de terceros (incluyendo el uso de Subresource Integrity (SRI) y controles de integridad), limitar el DLL sideloading mediante políticas de aplicaciones y listas de bloqueo, desplegar soluciones EDR/XDR con capacidades de threat hunting, vigilar patrones de ofuscación y conexiones anómalas, formar a las plantillas para reconocer phishing dirigido y aplicar autenticación multifactor en servicios críticos. Adoptar un enfoque proactivo y basado en inteligencia de amenazas incrementa significativamente las probabilidades de detectar campañas como la de APT24 antes de que se materialicen pérdidas de propiedad intelectual y ventaja competitiva.
