Ink Dragon es un grupo de espionaje de larga trayectoria que, según indicadores de comportamiento e infraestructura, varios proveedores de seguridad consideran un actor de amenazas vinculado a China. Su actividad ha crecido desde operaciones en el Sudeste Asiático y Sudamérica hasta un número creciente de intrusiones en redes gubernamentales europeas.
Check Point Research ha rastreado esta expansión a través de una serie de campañas discretas pero disciplinadas, muchas de las cuales inicialmente parecían insignificantes hasta que una investigación más profunda reveló un patrón consistente de escalada sigilosa. Ink Dragon combina herramientas bien diseñadas con técnicas que simulan la actividad empresarial estándar, lo que ayuda al grupo a permanecer oculto durante largos periodos mientras configura discretamente cada entorno para su beneficio.
Una investigación reciente dentro de una oficina gubernamental europea muestra este enfoque en la práctica. La intrusión reveló no solo cómo Ink Dragon convierte los servidores comprometidos en puntos de retransmisión para operaciones más amplias, sino también cómo los atacantes mapearon el comportamiento administrativo, aprovecharon las sesiones inactivas y prepararon la red para su uso a largo plazo. Su conjunto de herramientas, en constante evolución, incluyendo una nueva variante de FinalDraft, jugó un papel central en este metódico modelo de campaña.
Cómo se desarrolla el ataque
Ink Dragon comienza analizando sitios web públicos en busca de vulnerabilidades. Muchas de las intrusiones que investigamos comenzaron con simples problemas de configuración en servidores, como el servidor web IIS de Microsoft y SharePoint, que permitieron a los atacantes introducir código en el servidor con mínima visibilidad. Una vez dentro, se instalan rápidamente y se preparan para la siguiente fase.
Moviéndonos dentro de la red
Desde el servidor inicial, los atacantes se centran en obtener el acceso necesario para moverse discretamente por el entorno. Aprovechan las contraseñas y las cuentas de servicio ya en uso, lo que les ayuda a integrarse en la actividad administrativa habitual.
Los pasos incluyen:
- Recopilar credenciales locales del servidor comprometido
- Identificar sesiones de administrador activas
- Reutilizar cuentas de servicio compartidas o replicadas para acceder a sistemas cercanos
- Usar Escritorio remoto para moverse lateralmente de forma aparentemente legítima
Esta etapa suele caracterizarse por un bajo nivel de ruido y se propaga a través de la infraestructura que comparte las mismas credenciales o patrones de gestión.
Tomando el control
La operación cambia una vez que los atacantes alcanzan una cuenta con derechos de dominio. En ese momento, pueden mapear el entorno en detalle, controlar la configuración de políticas e implementar herramientas de acceso a largo plazo en sistemas de alto valor.
Ink Dragon normalmente:
- Instala una puerta trasera persistente
- Coloca implantes en sistemas que almacenan credenciales o datos confidenciales
- Prepara nuevas rutas para el acceso remoto que no dependen del punto de entrada original
Convirtiendo a las Víctimas en Infraestructura
Una de las características que define a Ink Dragon es cómo utilizan las organizaciones comprometidas para respaldar operaciones en otros lugares. El grupo implementa un módulo personalizado basado en IIS que convierte los servidores públicos en puntos de retransmisión silenciosos. Estos servidores reenvían comandos y datos entre diferentes víctimas, creando una red de comunicación que oculta el verdadero origen del tráfico del ataque.
En la práctica, esto significa:
- Un servidor vulnerado en un país puede reenviar tráfico para una operación en otro.
- Cada nuevo ataque fortalece la red de mando más amplia del grupo.
- Los defensores ven tráfico que parece actividad normal entre organizaciones, lo que dificulta la detección.
Un patrón metódico
En todos los incidentes, la misma historia se repite. Un pequeño problema web se convierte en el primer paso. Una serie de cambios silenciosos conducen al control a nivel de dominio. El entorno se reutiliza como parte de una red más amplia que impulsa las operaciones contra objetivos adicionales. Este enfoque mesurado muestra cómo Ink Dragon combina disciplina, consistencia y herramientas en constante evolución para ampliar su alcance con el tiempo.
Herramientas nuevas y en evolución
El conjunto de herramientas de Ink Dragon continúa evolucionando. La puerta trasera actualizada FinalDraft del grupo, una herramienta de acceso remoto de larga data y preferida por múltiples grupos de espionaje, está diseñada para el acceso a largo plazo y ahora está optimizada para integrarse directamente con la actividad común en la nube de Microsoft. En lugar de acceder a servidores sospechosos, oculta su tráfico de comandos dentro de borradores de buzón comunes, lo que hace que la comunicación parezca un uso diario de los servicios de Microsoft.
La última versión también introduce varias mejoras que optimizan el funcionamiento de los atacantes:
- Tiempo controlado que permite que el malware se registre en horas específicas, siguiendo los patrones comerciales habituales.
- Transferencia de datos eficiente que mueve archivos grandes silenciosamente en segundo plano.
- Perfiles detallados del sistema que ofrecen a los operadores una imagen clara de cada máquina comprometida.
Estas mejoras muestran un actor de amenazas centrado en el sigilo, la estabilidad y las operaciones en la nube. Ink Dragon continúa desarrollando sus herramientas para dificultar la detección y facilitar la sostenibilidad de las campañas a largo plazo.
Superposición con la actividad de RudePanda
Nuestra investigación reveló algo inusual. Junto con Ink Dragon, un segundo actor de amenazas conocido como RudePanda había entrado discretamente en varias de las mismas redes gubernamentales. Si bien ambos grupos no están relacionados, ambos atravesaron la misma vulnerabilidad de servidor expuesta y terminaron operando en los mismos entornos simultáneamente.
RudePanda siguió su estrategia habitual, utilizando herramientas web ligeras y sutiles cambios en IIS para mantenerse oculto y mantener el acceso. Algunos artefactos restantes mostraron que también había implementado componentes diseñados para ocultar la actividad y permitir el control remoto.
Esta superposición no sugiere cooperación. Sin embargo, muestra cómo una sola vulnerabilidad sin parchear puede convertirse en una puerta abierta para múltiples actores avanzados, cada uno ejecutando su propia campaña dentro de la misma organización.
La actividad reciente de Ink Dragon muestra un cambio hacia el uso de servidores comprometidos como parte de una red de comunicación más amplia. En lugar de depender de una infraestructura de comando fija, el grupo reutiliza los entornos de las víctimas para retransmitir el tráfico, lo que les ayuda a mantenerse resilientes y a integrarse en la actividad web normal. Este modelo ofrece a los atacantes rutas flexibles de comando y control, cobertura natural dentro del tráfico HTTP diario y valor a largo plazo de cada servidor comprometido. Su conjunto de herramientas, que incluye FinalDraft y otros componentes de acceso a largo plazo, respalda este enfoque al proporcionar acceso estable y operaciones de baja visibilidad.
Para los profesionales de la ciberseguridad, esto significa que las intrusiones no pueden analizarse de forma aislada. Un sistema comprometido podría estar sirviendo ya como enlace de comunicación para otras actividades. Encontrar y eliminar la cadena de retransmisión completa es esencial para expulsar por completo al atacante del entorno.
