El grupo de ciberdelincuentes conocido como
ToddyCat
ha sido atribuido a un nuevo malware llamado Umbrij, diseñado para obtener
acceso subrepticio al GMail de las víctimas a través
de la API de Google.
«En esta campaña, los atacantes centraron su atención en las comunicaciones
de correo electrónico corporativas alojadas en Gmail, con el objetivo de
comprometer el acceso a través de las API», afirmó Kaspersky en un
informe detallado
publicado esta semana.
«Dado que la API de Google se basa en el protocolo OAuth 2.0 para la
autorización, las aplicaciones pueden usar un token OAuth para acceder a los
recursos de correo electrónico solicitados».
Se cree que el atacante desarrolló Umbrij para obtener este token y
usarlo para conectarse a la consola de administración del navegador en modo
sin interfaz gráfica (headless mode) a través de un puerto de depuración remota.
Posteriormente, se emitieron varias solicitudes para obtener un código de
autorización OAuth, que luego se intercambió por un token de acceso
para acceder a los recursos objetivo a través de la API. Esta técnica ha sido
denominada «Shadow Token via Remote Debug» (STRD) por el proveedor ruso
de ciberseguridad.
Lo más destacable de este ataque es que funciona en navegadores basados en
Chromium y aprovecha una sesión activa de Gmail. En otras palabras, la idea es
ejecutar el navegador en modo sin interfaz gráfica, conectarse a través del
puerto de depuración remota para tomar el control y utilizar una sesión de
Gmail ya iniciada para acceder a los recursos de la cuenta de Google.
Se han descubierto tres versiones diferentes de Umbrij, incluyendo versiones
con funciones auxiliares para la depuración y para buscar y seleccionar
cuentas de usuario dentro del navegador.
ToddyCat es el
nombre asignado
a una amenaza persistente avanzada (APT) que ha atacado a diversas
organizaciones en Europa y Asia desde
al menos 2020. En noviembre de 2025, Kaspersky detalló el uso que hizo el grupo de una
herramienta personalizada llamada
TCSectorCopy
para obtener datos de correo electrónico de Microsoft Outlook pertenecientes a
las empresas objetivo.
La empresa de ciberseguridad declaró haber descubierto Umbrij durante una
operación de búsqueda de amenazas, en la que se utilizó una tarea programada
que suplantaba la identidad de su software
(«KasperskyEndpointSecurityEDRAvp») para ejecutar un archivo firmado
digitalmente. Este archivo, a su vez, ejecutó Umbrij mediante la
carga lateral de DLL.
Para lograrlo, se aprovecharon tres binarios legítimos vulnerables a la carga
lateral de DLL:
-
BDSubWiz.exe, un componente del Asistente de Envío de Bitdefender
ConnectAgent; -
VSTestVideoRecorder.exe, un componente de la herramienta de grabación
de vídeo utilizada para realizar pruebas con Microsoft Visual Studio; -
GoogleDesktop.exe, una aplicación de búsqueda de escritorio de Google
ya descontinuada que se utilizaba para indexar archivos y realizar búsquedas
rápidas en un equipo Windows local.
Independientemente del ejecutable utilizado, el resultado final es el mismo:
la ejecución de la DLL maliciosa de Umbrij, escrita en .NET y ofuscada con
ConfuserEx, un ofuscador de código abierto. La herramienta también
puede ejecutarse mediante parámetros de línea de comandos que especifican los
navegadores a los que dirigirse (Google Chrome o Microsoft Edge), le indican
que guarde una captura de pantalla del perfil de usuario como archivo PDF y
proporcionan el nombre de usuario del sistema con el que se ejecutará la
herramienta.

Umbrij, al igual que la mayoría de las herramientas del conjunto de
herramientas de ToddyCat, registra sus acciones en detalle y las guarda en
un archivo. También guarda el código de autorización recuperado en este archivo de
registro, que el operador posteriormente extrae del host comprometido.»
«El código de autorización obtenido se intercambia por un token de acceso
OAuth. Los ciberdelincuentes utilizan ese token para conectarse a la cuenta
de Gmail a través de la API, comprometiendo así las comunicaciones de correo
electrónico corporativas.»
Para contrarrestar la amenaza, se recomienda revisar los códigos de
autorización otorgados a las aplicaciones accediendo a
«myaccount.google[.]com/connections» y buscando aplicaciones llamadas
«Google Workspace Migration for Microsoft Outlook» o «Google Workspace Sync
for Microsoft Outlook». Si alguna de estas aplicaciones está presente y no se
utiliza en la organización, es fundamental revocar su acceso para invalidar
los tokens OAuth.
«El grupo APT ToddyCat continúa buscando formas de comprometer las
comunicaciones de correo electrónico corporativas», afirmó Andrey Gunkin, analista sénior de malware en Kaspersky. Su nueva
herramienta, Umbrij, automatiza los intentos de los atacantes por acceder a
las cuentas de correo electrónico de las organizaciones. Esta automatización
no solo contribuye a aumentar la escala y la frecuencia de sus ataques, sino
que también demuestra la gran motivación y las avanzadas habilidades técnicas
de ToddyCat.
Fuente:
THN

