Daxin y Stupig: Amenazas persistentes en Taiwán

Publicado el

Daxin y Stupig: Nuevas amenazas cibernéticas en Taiwán

Recientemente, el malware Daxin, previamente atribuido a un actor de amenazas vinculado a China, ha resurgido en una empresa manufacturera de Taiwán después de más de cuatro años de inactividad. Junto a él, se ha descubierto un backdoor hasta ahora no reportado, conocido como Stupig.

Daxin, identificado como srt64.sys, es un rootkit de modo kernel que fue documentado por Symantec en marzo de 2022. Desde 2013, este malware ha sido utilizado en ataques dirigidos contra gobiernos y otras infraestructuras críticas. Las recientes investigaciones del equipo de amenazas de Symantec y Carbon Black han confirmado que Daxin sigue operativo, encontrándose en un host comprometido en Taiwán en 2026.

El dispositivo afectado pertenece a una filial de un importante fabricante de alta tecnología. Además de Daxin, este sistema también estaba infectado con Stupig, que se presenta con los nombres de archivo a.dll o kbdus1.dll, intentando hacerse pasar por un DLL legítimo de Microsoft relacionado con el teclado en inglés.

Estrategias de ataque innovadoras

Según la división de ciberseguridad de Broadcom, Stupig utiliza una técnica no documentada en ninguna familia de malware conocida. Se trata de un DLL trojanizado que se carga mediante winlogon.exe, permitiendo que un atacante ejecute comandos como SYSTEM directamente desde la pantalla de inicio de sesión de Windows, antes de que cualquier usuario inicie sesión y sin generar eventos de auditoría relacionados.

Lo que destaca en esta intrusión es que ambos artefactos tienen una fecha de compilación de principios de 2013. Sin embargo, el host comprometido no comenzó a reportar telemetría hasta el 12 de mayo de 2026, lo que sugiere que el ataque pudo haber permanecido sin ser detectado durante 13 años. Aunque no se han encontrado superposiciones a nivel de código entre Daxin y Stupig, su co-despliegue en el mismo host y sus funciones complementarias sugieren que podrían ser obra del mismo actor de amenazas.

Daxin adopta un enfoque inusual para el comando y control. En lugar de establecer conexiones salientes directas con infraestructuras controladas por atacantes, este driver de modo kernel de Windows monitoriza el tráfico TCP entrante en busca de patrones específicos y secuestra conexiones legítimas existentes para las comunicaciones C2 encriptadas, lo que le permite camuflarse entre la actividad normal. Además, es capaz de interactuar con máquinas que están físicamente desconectadas de Internet.

Persistencia y sigilo

Esta capacidad ha hecho que Daxin sea extremadamente difícil de identificar mediante el monitoreo de red convencional. El malware admite comunicaciones de múltiples saltos a través de cadenas de hosts infectados, lo que permite a los operadores acceder a sistemas en segmentos de red aislados.

Se sospecha que la máquina fue comprometida a través de una versión desactualizada del portal de inicio de sesión único (SSO) de Digiwin, que utilizaba instalaciones Java Development Kit (JDK) 1.5 y 1.6, que datan de 2009 a 2011.

Stupig, por su parte, logra persistir al registrarse como un proveedor de diseño de teclado, lo que provoca que win32k.sys lo cargue en winlogon.exe al inicio del sistema. Esta técnica permite que el DLL retorne un puntero KBDTABLES válido, de modo que el funcionamiento del teclado permanezca normal, sin levantar sospechas durante cualquier inspección.

Una vez que comienza a ejecutarse dentro de winlogon.exe, Stupig busca nombres de usuario que comiencen con el prefijo

Fuente

Ver noticia original