El grupo de amenazas persistentes avanzadas Cloud Atlas ha continuado su sofisticada campaña dirigida a organizaciones de Europa del Este y Asia Central durante la primera mitad de 2025, aprovechando vulnerabilidades obsoletas de Microsoft Office para entregar múltiples implantes de puerta trasera. 

 Esta campaña revela un esfuerzo coordinado para establecer acceso persistente y extraer datos confidenciales de objetivos de alto valor. Cloud Atlas, un actor de amenazas conocido desde 2014, ha demostrado una actividad operativa persistente refinando su metodología de ataque y ampliando su conjunto de herramientas.

 La infraestructura del grupo comienza típicamente con correos electrónicos de phishing que contienen documentos maliciosos que explotan CVE-2018-0802, una vulnerabilidad en el Editor de ecuaciones de Microsoft Office. Una vez que una víctima abre el archivo comprometido, se descargan y ejecutan una serie de componentes de malware en una cadena de infección cuidadosamente orquestada. Analistas de Securelist identificaron que el proceso de infección comienza cuando los usuarios abren un documento de Word que contiene una plantilla maliciosa entregada desde servidores controlados por los atacantes. El documento carga un archivo RTF con una vulnerabilidad para el Editor de ecuaciones, que luego descarga y ejecuta un archivo de aplicación HTML. Esta carga útil inicial extrae varios archivos VBS en el sistema objetivo, estableciendo la base para la implementación de puertas traseras adicionales, incluyendo VBShower, PowerShower, VBCloud y CloudAtlas. Cada componente sirve funciones específicas dentro de la infraestructura de ataque general. 

 El arsenal del grupo de amenazas demuestra una sofisticación significativa en las técnicas de evasión y persistencia. La puerta trasera VBShower, que opera como el componente lanzador principal, puede ejecutar scripts VB descargados independientemente del tamaño del archivo, lo que permite a los operadores implementar de forma flexible varias cargas útiles.

 Investigadores de Securelist señalaron que la puerta trasera se comunica con servidores de comando para recuperar y ejecutar scripts adicionales, incluyendo herramientas especializadas diseñadas para la extracción de archivos, la enumeración del sistema y la recopilación de credenciales.

Mecanismo de infección y tácticas de persistencia

El implante VBCloud representa un componente crítico en la capacidad operativa de Cloud Atlas. Operando junto con un script de lanzamiento, VBCloud mantiene una comunicación cifrada con el servidor de comando a través de infraestructura basada en la nube. El script de lanzamiento lee datos de carga útil cifrados de archivos locales, aplica la desencriptación RC4 con claves integradas y ejecuta el contenido descifrado. Cabe destacar que esta implementación utiliza el algoritmo PRGA dentro de RC4, una elección técnica relativamente inusual en malware, lo que sugiere un mayor nivel de madurez operativa. El mecanismo de persistencia incorpora el Programador de tareas de Windows para mantener el acceso a través de los reinicios del sistema.

 El malware crea tareas programadas con nombres que imitan servicios legítimos del sistema, como "MicrosoftEdgeUpdateTask" y "MicrosoftVLCTaskMachine". Estas tareas ejecutan scripts VBS a intervalos regulares, asegurando que el malware permanezca operativo incluso después de los reinicios del sistema. Las operaciones de archivo implican un uso cuidadoso de los directorios %Public% y %LOCALAPPDATA%, con el malware estableciendo infraestructura oculta a través de archivos renombrados y cargas útiles cifradas.

 CloudAtlas, la puerta trasera de etapa final, se comunica a través de protocolos WebDAV a servicios en la nube, incluyendo OpenDrive, estableciendo canales de comando cifrados que se mezclan con el tráfico legítimo de la nube. La puerta trasera crea directorios utilizando métodos HTTP MKCOL y recupera cargas útiles a través de solicitudes PROPFIND. 

 Los operadores pueden implementar módulos de complemento para funciones especializadas, incluyendo la recopilación de archivos, el robo de contraseñas de los navegadores y la recopilación de información del sistema. 

 El complemento FileGrabber se dirige a documentos con extensiones específicas, como DOC, DOCX, XLS, XLSX y PDF, filtrando archivos según el tamaño, la fecha de modificación y las exclusiones de ruta. La campaña demuestra el objetivo de diversos sectores, incluyendo las telecomunicaciones, la construcción, entidades gubernamentales e instalaciones industriales en Rusia y Bielorrusia. Las organizaciones se enfrentan a un riesgo significativo por el proceso de infección por etapas y las potentes capacidades de post-explotación de este sofisticado grupo de amenazas.