**Actualización maliciosa de Dragon Boss en marzo de 2025: Persistencia avanzada y evasión de Windows Defender**
—
### 1. Introducción
En marzo de 2025, un actor de amenazas identificado como Dragon Boss desplegó una actualización aparentemente inocua que estableció persistencia mediante tareas programadas y preparó el terreno para excluir futuras cargas maliciosas de la protección de Windows Defender. Este incidente pone de manifiesto la creciente sofisticación de los grupos de cibercriminales a la hora de evadir mecanismos de seguridad nativos en entornos Windows, y plantea importantes retos de detección y respuesta para los equipos de seguridad corporativos.
—
### 2. Contexto del Incidente
Dragon Boss es un grupo de amenaza persistente avanzada (APT) vinculado anteriormente a campañas dirigidas contra organizaciones del sector financiero y de infraestructuras críticas en Europa y Asia. En esta ocasión, la campaña se camufló bajo la apariencia de una actualización de software legítima, aprovechando canales de distribución previamente comprometidos. A pesar de su apariencia benigna, la actualización ejecutó una serie de acciones que permitieron al atacante establecer un acceso a largo plazo y preparar la infraestructura para la entrega de futuras cargas útiles maliciosas.
—
### 3. Detalles Técnicos
#### Persistencia mediante tareas programadas
Tras la instalación, el malware desplegó un script que creó una tarea programada en Windows Task Scheduler (`schtasks.exe`). Esta tarea ejecutaba de manera periódica un binario malicioso ubicado en un directorio de sistema poco habitual, empleando nombres de archivo que imitaban procesos legítimos de Windows, como `svhost.exe` o `winupdate.exe`.
#### Evasión de Windows Defender
De forma simultánea, el payload inicial modificó las políticas locales de Windows Defender utilizando comandos de PowerShell, como:
«`powershell
Add-MpPreference -ExclusionPath «C:ProgramDataWinUpdate»
Add-MpPreference -ExclusionProcess «C:ProgramDataWinUpdatesvhost.exe»
«`
Esto permitió que futuras cargas útiles se instalaran y ejecutaran sin ser detectadas ni bloqueadas por el motor antimalware de Microsoft.
#### CVEs y vectores de ataque
Aunque no se ha asignado un CVE específico a esta técnica, el ataque aprovecha la manipulación de configuraciones de seguridad (T1059.001: PowerShell y T1053.005: Scheduled Task/Job, según MITRE ATT&CK). La infraestructura de comando y control (C2) empleada utilizó comunicaciones cifradas sobre HTTPS y técnicas de domain fronting para dificultar la detección por parte de soluciones de monitorización de red.
#### Indicadores de Compromiso (IoC)
– Directorios inusuales: `C:ProgramDataWinUpdate`
– Nombres de tareas programadas: `WinUpdateSvc`, `SystemHostTask`
– Procesos excluidos en Windows Defender: `svhost.exe`, `winupdate.exe`
– Comunicaciones salientes a dominios recién registrados con certificados TLS válidos
—
### 4. Impacto y Riesgos
El impacto de esta campaña es significativo, ya que la técnica de exclusión de procesos y rutas en Windows Defender permite a los atacantes desplegar cargas útiles adicionales (ransomware, troyanos bancarios, herramientas de movimiento lateral como PsExec o Cobalt Strike) sin obstáculos. Según datos preliminares de telemetría de EDR, al menos un 15% de las organizaciones que descargaron la actualización comprometida sufrieron intrusiones adicionales en las semanas siguientes.
Los riesgos principales incluyen:
– Robo de credenciales y lateralidad interna
– Instalación de backdoors persistentes
– Despliegue de ransomware sin previa detección
– Filtración de datos sensibles, con potencial impacto en cumplimiento de GDPR y NIS2
—
### 5. Medidas de Mitigación y Recomendaciones
– Revisar tareas programadas y rutas de exclusión en Windows Defender en todos los endpoints.
– Desplegar reglas de detección basadas en comportamiento para modificaciones de exclusiones de Defender.
– Utilizar soluciones EDR que monitoricen la creación de tareas programadas y cambios en políticas de seguridad.
– Restringir permisos de administración local y limitar el uso de PowerShell a cuentas de confianza.
– Monitorizar conexiones salientes hacia dominios sospechosos o empleados en técnicas de domain fronting.
– Aplicar segmentación de red y MFA para minimizar el movimiento lateral.
—
### 6. Opinión de Expertos
Carlos Álvarez, analista de amenazas en un CERT europeo, señala: “La manipulación de exclusiones en Windows Defender es una táctica cada vez más común entre grupos APT. El uso de tareas programadas, combinado con la exclusión de rutas y procesos, es altamente efectivo para evadir la detección en entornos corporativos donde Defender es la principal línea de defensa”.
Añade que “las organizaciones deben complementar Defender con soluciones EDR avanzadas y establecer políticas de monitorización continua de cambios en la configuración de seguridad”.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, este incidente subraya la necesidad de auditar regularmente las configuraciones de seguridad y de revisar los procesos asociados a tareas programadas y exclusiones en Defender. Los administradores de sistemas deben desplegar alertas automáticas ante cualquier cambio en las políticas antimalware.
Los usuarios finales, especialmente aquellos con privilegios elevados, deben recibir formación para identificar actualizaciones sospechosas y reportar cualquier anomalía en el comportamiento de sus sistemas.
—
### 8. Conclusiones
La campaña de Dragon Boss en marzo de 2025 evidencia la evolución constante de las técnicas de persistencia y evasión en el ecosistema de amenazas. La manipulación de exclusiones en Windows Defender y el uso de tareas programadas refuerzan la importancia de adoptar una defensa en profundidad, desplegar controles de supervisión avanzada y mantener una postura proactiva ante la detección de amenazas emergentes. Las organizaciones que no revisen regularmente sus configuraciones de seguridad se exponen a un riesgo elevado de intrusión y compromiso de datos sensibles.
(Fuente: www.darkreading.com)