El grupo de ciberespionaje Harvester ha sido vinculado a una nueva oleada de ataques dirigidos en los que despliega una versión para Linux del backdoor GoGra, utilizando la infraestructura de Microsoft Graph API y buzones de Outlook como canal de mando y control (C2). Esta táctica, observada por equipos como Symantec Threat Hunter y VMware Carbon Black, dificulta de forma significativa la detección en redes corporativas que confían por defecto en los servicios de Microsoft 365.
Harvester APT: de Graphon en Windows a GoGra en Linux
Harvester fue documentado en detalle en 2021 en el contexto de campañas de ciberespionaje contra operadores de telecomunicaciones, organismos públicos y empresas de TI en Asia del Sur. En aquella fase, el grupo empleaba el implante Graphon, ya basado en Microsoft Graph API para su infraestructura C2, lo que marcó tempranamente su preferencia por “vivir” dentro de servicios en la nube ampliamente utilizados.
En agosto de 2024 se atribuyó a Harvester la comprometación de un importante grupo mediático en Asia del Sur mediante una versión Windows del backdoor GoGra, desarrollado en Go. Las muestras más recientes indican que esa funcionalidad se ha portado ahora a Linux, con el objetivo de ampliar la superficie de ataque hacia servidores y sistemas críticos.
Artefactos de esta nueva variante de Linux GoGra subidos a VirusTotal proceden de India y Afganistán, lo que refuerza el foco geográfico en Asia del Sur. No obstante, las tácticas, técnicas y procedimientos (TTP) empleados son fácilmente reutilizables contra organizaciones de otras regiones, especialmente aquellas con una fuerte dependencia de Microsoft 365.
Backdoor Linux GoGra: ingeniería social e instalación encubierta
En los ataques sobre Linux, Harvester se apoya de forma intensiva en la ingeniería social. Las víctimas reciben binarios ELF camuflados como supuestos documentos PDF, con nombres verosímiles, iconos de documentos y mensajes acompañantes cuidadosamente redactados para inducir al usuario a ejecutarlos manualmente.
Al abrirse el archivo, entra en juego un dropper que despliega una doble acción: por un lado, muestra un documento señuelo para no despertar sospechas; por otro, instala silenciosamente el backdoor GoGra para Linux y lo activa en segundo plano. Este patrón hace que el incidente se perciba como una simple apertura de PDF, reduciendo la probabilidad de que el usuario reporte anomalías al equipo de seguridad.
Microsoft Graph y Outlook como C2: carpeta “Zomato Pizza” y comandos por correo
Al igual que la variante para Windows, Linux GoGra utiliza Microsoft Graph API y Outlook como canal de mando y control. El malware se autentica frente a un buzón concreto de Outlook y consulta de forma periódica (cada aproximadamente dos segundos) una carpeta con un nombre inusual, “Zomato Pizza”, mediante consultas basadas en el protocolo OData a través de Graph.
El flujo operativo observado es el siguiente: el backdoor busca mensajes con el prefijo “Input” en el asunto, que actúan como identificadores de tareas. El cuerpo del mensaje contiene los comandos en una cadena codificada en Base64; GoGra la decodifica y ejecuta las instrucciones resultantes como comandos de shell a través de /bin/bash. Esto otorga al operador una capacidad casi ilimitada: recolección de archivos, enumeración de red, extracción de configuraciones o despliegue de herramientas adicionales.
El resultado de cada comando se encapsula y se envía de vuelta al mismo buzón como respuesta con el asunto “Output”. Una vez procesada la orden, el malware elimina el correo original, reduciendo el número de artefactos visibles y dificultando el análisis forense posterior. La lógica C2 es prácticamente idéntica en las versiones Windows y Linux, y ambas comparten incluso errores ortográficos en el código, lo que sugiere un mismo equipo de desarrollo.
Abuso de Microsoft Graph como C2: por qué es tan difícil de detectar
El uso de infraestructura en la nube de grandes proveedores como Microsoft 365 se ha consolidado como una tendencia clave entre las APT. Esta técnica, a menudo descrita como “living off the cloud”, ofrece varias ventajas a los atacantes:
Encubrimiento del tráfico malicioso. Las conexiones hacia dominios de Microsoft se consideran generalmente de confianza, por lo que rara vez se someten al mismo nivel de inspección que otros destinos. El tráfico C2 de GoGra se mezcla con el flujo legítimo de Microsoft 365 y se protege adicionalmente mediante cifrado TLS de extremo a extremo.
Elusión de controles perimetrales. Muchos firewalls y proxies permiten el acceso a *.microsoft.com con políticas relajadas. Bloquear IPs o dominios de Microsoft para cortar un canal C2 puede afectar directamente a correo, colaboración y aplicaciones críticas, por lo que las organizaciones suelen evitar medidas tan drásticas incluso ante indicios de actividad sospechosa.
Informes públicos de fabricantes de seguridad apuntan a un crecimiento sostenido de campañas APT que abusan de servicios en la nube como C2. Harvester se alinea plenamente con esta tendencia, lo que obliga a madurar los modelos de confianza y monitorización sobre Microsoft 365.
Cómo proteger entornos Linux y Microsoft 365 frente a GoGra y backdoors similares
Refuerzo de la seguridad del correo y concienciación de usuarios. Es esencial capacitar al personal para reconocer adjuntos sospechosos, en especial ejecutables ELF disfrazados de documentos. Los gateways de correo deberían bloquear, aislar o someter a sandboxing cualquier archivo ejecutable recibido desde dominios externos.
Monitorización avanzada de Microsoft 365 y Microsoft Graph API. Las organizaciones deben activar y correlacionar registros de acceso a Graph y actividad en Exchange Online, buscando: accesos inusuales a buzones, creación de carpetas con nombres poco habituales (como “Zomato Pizza”), picos de consultas periódicas desde cuentas de servicio o aplicaciones que interrogan una misma carpeta cada pocos segundos.
Protección reforzada de sistemas Linux. La adopción de soluciones EDR/XDR con soporte para Linux permite detectar la ejecución anómala de binarios ELF en directorios de usuario o temporales, así como invocaciones de /bin/bash en contextos poco habituales. Medidas como el control de integridad de ficheros, listas de bloqueo/permitidos de aplicaciones y la restricción del uso de shells para cuentas de servicio reducen de forma significativa la superficie explotable.
Caza de amenazas e investigación proactiva. Incorporar a los ejercicios de threat hunting la búsqueda de actividad anómala de correo en Microsoft 365, binarios ELF desconocidos, uso inusual de /bin/bash y patrones de acceso regulares a Graph API es clave para adelantarse a campañas como las de Harvester. Las organizaciones con presencia o intereses en Asia del Sur deberían priorizar específicamente las TTP asociadas a este grupo APT en sus hipótesis de caza.
La aparición de Linux GoGra confirma que Harvester continúa evolucionando su arsenal para abarcar tanto estaciones Windows como servidores Linux, apoyándose en Microsoft Graph y Outlook como canal C2 difícil de bloquear. Revisar los modelos de confianza hacia la nube, fortalecer el monitoreo de Microsoft 365, endurecer la seguridad de los sistemas Linux y mantener programas continuos de formación y respuesta a incidentes son pasos esenciales para reducir el impacto de este tipo de backdoors antes de que deriven en filtraciones de información crítica.
