Investigadores de la unidad Solar 4RAYS han identificado en la infraestructura de un organismo estatal ruso un nuevo backdoor modular denominado ShadowRelay, diseñado para el ciberespionaje de largo plazo, la carga de módulos adicionales y el control de equipos sin acceso directo a internet. El malware ya ha sido utilizado en al menos una operación dirigida contra el sector público, lo que refuerza la hipótesis de una campaña avanzada y cuidadosamente planificada.
Nuevo backdoor ShadowRelay y su relación con grupos APT asiáticos
El incidente, investigado a lo largo de 2025, presenta fuertes indicios de estar ligado a la APT asiática Erudite Mogwai, también conocida como Space Pirates. Durante distintas fases de la intrusión se observaron además rastros compatibles con una APT relacionada, etiquetada como Obstinate Mogwai, periodo en el que se habría desplegado ShadowRelay en la infraestructura comprometida.
Ambas APT ya habían sido asociadas previamente al uso de plataformas modulares de espionaje como ShadowPad, un framework ampliamente documentado por distintos proveedores de seguridad. La aparición de ShadowRelay encaja en una tendencia clara: abandonar troyanos monolíticos y adoptar marcos modulares altamente configurables, adaptados a los objetivos y al entorno de cada operación.
Explotación de ProxyShell en Microsoft Exchange como vector inicial
El punto de entrada de los atacantes fue un servidor Microsoft Exchange desplegado a mediados de 2024, que no contaba con los parches de seguridad críticos. Para la intrusión se aprovechó la cadena de vulnerabilidades conocida como ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), utilizada desde 2021 en campañas tanto masivas como dirigidas contra servidores de correo expuestos.
Durante el análisis forense se hallaron múltiples artefactos maliciosos, lo que sugiere que diferentes actores habían intentado explotar el mismo servidor. Entre los implantes identificados figuraba ShadowPad Light (Deed RAT). En este contexto los analistas detectaron también el nuevo backdoor ShadowRelay, asociado temporal y técnicamente a la actividad atribuida a Obstinate Mogwai.
Arquitectura modular y capacidades de ShadowRelay
ShadowRelay funciona como una plataforma modular donde el binario principal actúa como «esqueleto» o framework. La lógica de espionaje y control no está integrada directamente en el núcleo, sino que se implementa mediante plugins descargables bajo demanda desde la infraestructura de mando y control (C2). En la configuración básica el implante apenas exhibe funcionalidades evidentes, lo que dificulta su detección y análisis estático.
Un aspecto clave es que las distintas instancias de ShadowRelay pueden comunicarse entre sí y coordinarse. Esto permite, por ejemplo, que un equipo con conexión a internet actúe como puente para otros hosts aislados. Según Solar 4RAYS, en el incidente estudiado no se encontraron los módulos adicionales, por lo que el conjunto completo de capacidades y objetivos finales de la operación permanece parcialmente desconocido.
Técnicas de sigilo, evasión y trabajo en redes sin internet
Para mantenerse oculto, ShadowRelay aplica diversas técnicas avanzadas de evasión y anti-análisis. Entre ellas destacan la inyección de código en procesos legítimos, la reutilización de puertos de red ya abiertos y la generación mínima de archivos o rastros visibles en el sistema. Estas estrategias reducen la eficacia de los mecanismos de detección basados en firmas y de muchos antivirus tradicionales.
El backdoor incorpora además controles anti-depuración y anti-sandbox. La carga completa solo se activa si en el fichero de configuración se establece un parámetro específico y el entorno no presenta indicios de análisis. En caso contrario, puede activarse un mecanismo de autodestrucción, lo que complica seriamente la labor forense y la recopilación de evidencias técnicas.
Su capacidad más crítica es la de operar en redes segmentadas y sin salida directa a internet. ShadowRelay puede crear una topología interna de «servidores» y «clientes» formada por sus propias copias. Un implante en un segmento con acceso externo actúa como pasarela, reenviando órdenes y datos entre el C2 y máquinas situadas en subredes aisladas, donde a menudo residen servicios críticos y datos altamente sensibles.
Riesgos para el sector público y la infraestructura crítica
Por su diseño y comportamiento, ShadowRelay está claramente orientado a presencia encubierta de larga duración, característica típica de las operaciones de ciberespionaje APT y no de campañas criminales oportunistas. La combinación de acceso al perímetro y a segmentos internos aislados eleva de forma significativa el riesgo para organismos gubernamentales, operadores de infraestructura crítica y grandes empresas estratégicas.
En el caso analizado, Solar 4RAYS señala que el backdoor fue detectado antes de que se produjera una exfiltración confirmada de información o un impacto operacional grave. No obstante, la mera presencia de una herramienta de este nivel de complejidad en el entorno gubernamental indica capacidades avanzadas por parte de los atacantes y un interés continuado en entidades estatales y paraestatales.
Recomendaciones de ciberseguridad frente a ShadowRelay y ataques APT
Los expertos recomiendan a las organizaciones, especialmente del sector público y de infraestructura crítica, reforzar la detección y prevención a nivel de red y de endpoint. El informe de Solar 4RAYS incluye una regla Snort específica para identificar la actividad de ShadowRelay, que debería integrarse en NIDS/NIPS, SIEM y plataformas SOC como parte de las reglas de detección actualizadas.
Entre las principales medidas se destacan:
– Actualización inmediata y endurecimiento de servidores Microsoft Exchange y demás sistemas expuestos a internet;
– Uso de soluciones EDR/XDR para detectar comportamiento anómalo, inyecciones de código y conexiones inusuales;
– Monitorización del tráfico East–West para identificar movimientos laterales y comunicaciones entre segmentos;
– Aplicación sistemática de reglas Snort, firmas e IoC procedentes de informes recientes de amenazas;
– Revisión periódica de segmentos aislados en busca de canales encubiertos y «puentes» hacia otras zonas de la red.
La evolución de herramientas como ShadowRelay confirma que los actores APT continúan invirtiendo en plataformas modulares capaces de operar en entornos complejos y altamente segmentados. Para reducir el riesgo, las organizaciones deben ir más allá de los controles básicos, revisar de forma continua su arquitectura de seguridad, fortalecer el monitoreo y capacitar a sus equipos de ciberseguridad en la detección temprana de este tipo de backdoors avanzados. La rapidez en identificar y erradicar estos implantes puede marcar la diferencia entre una intrusión contenida y una filtración masiva de información crítica.
