Campaña UAT-10027 Despliega el Nuevo Backdoor Dohdoor Contra Educación y Salud en EE.UU.

Campaña de Ciberespionaje Sofisticado Ataca Sectores Críticos en EE.UU.

Cisco Talos ha identificado un clúster de actividad maliciosa previamente no documentado, rastreado como UAT-10027, que lleva a cabo una campaña en curso contra los sectores de educación y salud de EE.UU. desde al menos diciembre de 2025. El objetivo principal de la campaña es el despliegue de Dohdoor, un backdoor recientemente descubierto que aprovecha DNS-over-HTTPS (DoH) para comunicaciones encubiertas de comando y control (C2).

Detalles Técnicos del Backdoor Dohdoor

El backdoor Dohdoor representa una evolución significativa en las tácticas de los actores de amenazas, utilizando DoH para evadir los mecanismos tradicionales de monitoreo y detección de redes. DoH cifra las consultas DNS dentro del tráfico HTTPS, lo que dificulta que los equipos de seguridad inspeccionen o bloqueen las comunicaciones maliciosas. Las características técnicas clave de Dohdoor incluyen:

• Comunicaciones C2 Encubiertas: Al incrustar solicitudes DNS dentro del tráfico HTTPS cifrado, Dohdoor elude las soluciones convencionales de filtrado y registro de DNS.
• Mecanismos de Persistencia: El backdoor emplea múltiples técnicas de persistencia, incluyendo modificaciones en el registro y tareas programadas, para mantener el acceso a los sistemas comprometidos.
• Diseño Modular: Los análisis iniciales sugieren que Dohdoor podría soportar cargas útiles o plugins adicionales, permitiendo a los actores de amenazas expandir su funcionalidad después de la infección.

Hasta el momento de este informe, Cisco Talos no ha publicado indicadores completos de compromiso (IoCs) ni artefactos forenses detallados, pero la firma enfatiza la sofisticación del backdoor y su potencial para el espionaje a largo plazo.

Análisis de Impacto

El enfoque en los sectores de educación y salud —ambos manejan datos altamente sensibles— plantea preocupaciones sobre el posible impacto de la campaña:

• Riesgos de Exfiltración de Datos: Los actores de amenazas podrían robar información de identificación personal (PII), registros médicos o propiedad intelectual, lo que podría derivar en sanciones regulatorias y daños a la reputación.
• Interrupción Operativa: Los sistemas comprometidos podrían ser utilizados para llevar a cabo ataques adicionales, como el despliegue de ransomware o el movimiento lateral dentro de las redes.
• Preocupaciones de Espionaje: El uso de un backdoor novedoso sugiere un enfoque en la recopilación de inteligencia a largo plazo, potencialmente para actores patrocinados por estados o motivados financieramente.

Recomendaciones para los Equipos de Seguridad

Dada la naturaleza sigilosa de Dohdoor y su dependencia de DoH, Cisco Talos recomienda las siguientes medidas de mitigación:

1. Monitorear el Tráfico DoH: Implementar herramientas de monitoreo de red capaces de inspeccionar el tráfico DoH cifrado en busca de patrones anómalos o dominios maliciosos conocidos.
2. Detección y Respuesta en Endpoints (EDR): Desplegar soluciones EDR para detectar ejecuciones de procesos inusuales, cambios en el registro o modificaciones en tareas programadas.
3. Seguridad DNS: Considerar deshabilitar DoH a nivel de red o enforzar el uso de resolutores DNS controlados por la empresa para limitar el tunneling no autorizado.
4. Intercambio de Inteligencia de Amenazas: Colaborar con pares del sector y proveedores de inteligencia de amenazas para mantenerse actualizado sobre los IoCs emergentes asociados con UAT-10027.
5. Preparación para Respuesta a Incidentes: Revisar y probar los planes de respuesta a incidentes para garantizar una contención y erradicación rápida de amenazas avanzadas como Dohdoor.