Una serie de ciberataques contra organismos gubernamentales en Asia Central y la región Asia-Pacífico ha sido vinculada a un clúster de amenazas conocido como ShadowSilk, según una nueva investigación de Group-IB.

La actividad, que comenzó en 2023 y sigue activa hasta julio de 2025, muestra conexiones claras con operaciones previamente atribuidas al grupo YoroTrooper. Lo novedoso en esta campaña es la escala y composición de las operaciones.

La investigación de Group-IB, con apoyo de CERT-KG, identificó al menos 35 organismos gubernamentales afectados y descubrió nueva infraestructura, herramientas inéditas y evidencias que apuntan a una base de operadores tanto rusoparlantes como sinoparlantes.

Los investigadores destacan que el objetivo principal de ShadowSilk en todos los casos observados es el robo de datos, los cuales han aparecido a la venta en foros de la dark web.

Herramientas y tácticas

ShadowSilk utiliza un amplio arsenal de exploits, herramientas de pentesting y malware personalizado.

• Se observó el uso de bots de Telegram como canal de comando y control (C2), lo que permite emitir órdenes, exfiltrar datos y disfrazar la actividad maliciosa como tráfico normal de mensajería.
• También emplearon paneles web como JRAT y Morf Project, adquiridos en foros clandestinos, para gestionar dispositivos infectados.
• El acceso inicial se logró principalmente mediante correos de phishing que contenían archivos comprimidos y protegidos por contraseña.

Una vez que las víctimas ejecutaban la carga útil, sus sistemas quedaban comprometidos, lo que permitía desplegar herramientas adicionales como Cobalt Strike y Metasploit para reconocimiento, persistencia y robo de credenciales.

Operadores rusos y chinos

El análisis de servidores mostró distribuciones de teclado en ruso y errores tipográficos en los comandos, lo que apunta a la participación de operadores rusoparlantes.

Por otro lado, capturas de pantalla de estaciones de trabajo revelaron herramientas de vulnerabilidades en chino y accesos a portales de gobiernos de Asia Central, lo que evidencia también la participación de operadores de habla china.

Según los investigadores de Group-IB, ShadowSilk no es simplemente una continuación de YoroTrooper, sino un clúster de amenazas distinto, aunque con raíces compartidas.

“ShadowSilk mantiene su enfoque en el sector gubernamental de Asia Central y la región APAC, lo que subraya la importancia de monitorear su infraestructura para prevenir compromisos a largo plazo y la exfiltración de datos”, señala el informe.

Recomendaciones de seguridad

Los expertos recomiendan que las organizaciones:

• Implementen medidas robustas de protección de correo electrónico para prevenir el acceso inicial mediante spear-phishing.
• Vigilen de cerca el uso de comandos y herramientas nativas que suelen ser aprovechadas para recopilar información de sistemas y archivos.
• Refuercen sus defensas mediante control estricto de aplicaciones, parcheo regular y analítica avanzada (MXDR) ajustada a artefactos de malware conocidos.
• Aseguren que sus equipos de ciberseguridad cuenten con capacidades de caza proactiva de amenazas, además de monitorear de forma continua foros de la dark web y fuentes de filtración de datos, con el fin de evaluar el estado real de la seguridad organizacional.

Fuente: https://www.infosecurity-magazine.com/news/shadowsilk-targets-central-asian