Ink Dragon es un grupo de espionaje chino que expande su alcance desde el Sudeste Asiático y Sudamérica hacia redes gubernamentales europeas, convirtiendo víctimas en nodos de retransmisión.
La firma Check Point Research rastreó sus campañas sigilosas que inician en vulnerabilidades web como IIS y SharePoint, escalando a control de dominio.
El grupo usa FinalDraft, una puerta trasera evolucionada que se oculta en borradores de buzones Microsoft.
Los atacantes:
- mapean administradores
- reutilizan credenciales
- preparan accesos persistentes
Su modelo reutiliza servidores comprometidos para tráfico entre operaciones, formando una red de víctimas interconectadas.
La superposición con RudePanda en las mismas redes evidencia puertas abiertas múltiples.
Ink Dragon, grupo de espionaje chino y expansión global
Ink Dragon explota configuraciones débiles en servidores públicos para inyectar código con mínima visibilidad.
La red de espionaje china recopila credenciales locales, identifica sesiones activas y usa Escritorio Remoto para movimiento lateral legítimo.
Al alcanzar derechos de dominio, implanta puertas traseras y herramientas en sistemas clave.
También convierte servidores en puntos de retransmisión que ocultan comandos entre víctimas.
Esta táctica integra ataques en tráfico HTTP normal, y, de ese modo, evade su detección.
El enfoque metódico genera un crecimiento sostenido de su infraestructura.
Vulnerabilidades IIS SharePoint y movimiento lateral
FinalDraft optimiza el sigilo con registro en horarios comerciales, transferencia eficiente de datos y perfiles detallados de sistemas.
Además, oculta comandos en borradores de Outlook, simulando uso diario de nube Microsoft.
Estas mejoras permiten operaciones estables a largo plazo, explican los expertos.
Check Point identificó su evolución hacia la integración cloud nativa: el malware soporta campañas disciplinadas sin generar ruido.
De esta manera, los atacantes priorizan la estabilidad sobre velocidad agresiva.
FinalDraft puerta trasera de Ink Dragon Microsoft
En una intrusión europea, Ink Dragon usó un servidor gubernamental como relay para operaciones globales.
Los hackers mapearon el comportamiento administrativo y sesiones inactivas para persistencia.
Así, prepararon la red para uso prolongado con implantes estratégicos.
RudePanda coincidió en la misma vulnerabilidad, operando de forma independientemente.
Los expertos resaltaron que una falla sin parche atrae múltiples APT simultáneamente.
De esta manera, los defensores deben analizar cadenas completas de retransmisión.
Superposición RudePanda con intrusiones gubernamentales
La red de víctimas de Ink Dragon crece reutilizando entornos comprometidos como C2 flexibles.
Cada servidor fortalece su comando global sin infraestructura fija.
De esta forma, el tráfico simula interacciones web legítimas entre organizaciones.
Los profesionales de ciberseguridad enfrentan de este modo intrusiones no aisladas.
Los especialistas detallaron que su eliminación requiere cortar toda la cadena de relays.
Por último, resaltaron que este modelo demuestra madurez en espionaje persistente.
