Una investigación de Google Threat Intelligence Group (GTIG) expuso BadAudio, un malware avanzado utilizado por el grupo APT24, vinculado a China, en una campaña de espionaje que lleva operando más de tres años y que recientemente adoptó técnicas más sofisticadas y sigilosas.
1. Una campaña de espionaje activa desde 2022
Desde finales de 2022, APT24 distribuyó BadAudio mediante:
Spearphishing
Compromisos de cadena de suministro
Watering hole attacks
La operación tuvo como blanco principal a sistemas Windows, y logró comprometer al menos 20 sitios legítimos para inyectar JavaScript malicioso que seleccionaba víctimas de interés utilizando técnicas de fingerprinting.
Cuando un visitante cumplía los criterios, se desplegaba un falso pop-up de actualización para inducir la descarga del malware.
2. Ataques de cadena de suministro que escalaron a más de 1,000 dominios comprometidos
A partir de julio de 2024, el actor comprometió repetidamente a una empresa de marketing digital en Taiwán que proveía librerías JavaScript a cientos de clientes.
Fases del ataque a la cadena de suministro:
Inyección de JavaScript malicioso en una librería popular, distribuida por la compañía.
Registro de un dominio falso que imitaba un CDN legítimo.
Compromiso de más de 1,000 sitios web que cargaban automáticamente el código contaminado.
Entre finales de 2024 y julio de 2025, APT24 volvió a comprometer a esa misma empresa, esta vez insertando JavaScript ofuscado en un archivo JSON manipulado. Al ejecutarse, este módulo:
Identificaba al visitante mediante fingerprinting.
Enviaba un reporte base64 al servidor del atacante.
Permitía al actor decidir si proporcionaría la siguiente etapa del ataque.
La cadena completa representa un ejemplo claro de cómo una falla en un proveedor puede escalar hacia compromisos masivos en toda su red de clientes.
3. Operaciones paralelas de spearphishing con señuelos temáticos
En agosto de 2024, APT24 amplió su campaña con correos de spearphishing que usaban señuelos relacionados con organizaciones de rescate animal.
Elementos clave observados:
Uso de Google Drive y OneDrive para alojar BadAudio.
Mensajes que incluían tracking pixels para confirmar aperturas.
Varias muestras detectadas y enviadas a spam automáticamente, aunque algunas lograron entregarse.
Esta combinación de supply-chain + spearphishing reforzó el alcance de la operación durante 2024 y 2025.
4. BadAudio: un loader avanzado diseñado para evadir análisis
GTIG destaca que BadAudio es un malware altamente ofuscado, construido específicamente para complicar su detección y análisis.
Técnicas clave del loader:
DLL search order hijacking para ejecutarse mediante aplicaciones legítimas.
Control flow flattening, una técnica que rompe la lógica lineal del programa y obliga a los analistas a rastrear manualmente cada bloque.
Cifrado AES con claves hard-coded.
Comunicación directa con una dirección C2 también embebida.
Descarga y ejecución en memoria (fileless) de payloads adicionales mediante sideloading.
Una vez activo, BadAudio recolecta detalles del sistema (hostname, usuario, arquitectura), los cifra y los envía al C2. Luego descarga un payload cifrado adicional, lo descifra y lo ejecuta sin tocar el disco.
En al menos un caso confirmado, ese payload fue Cobalt Strike Beacon, una herramienta frecuentemente abusada por actores avanzados.
5. Un malware que ha logrado permanecer bajo el radar por años
A pesar de haberse utilizado desde 2022, BadAudio ha pasado prácticamente inadvertido:
De 8 muestras analizadas, solo dos superan detección por más de 25 motores en VirusTotal.
Variantes con fecha de creación de diciembre de 2022 solo son detectadas por cinco motores o menos.
Esto demuestra un nivel alto de evasión, ingeniería y madurez operacional por parte de APT24.
Conclusión
La campaña BadAudio evidencia la capacidad de APT24 para sostener operaciones de espionaje prolongadas, adaptarse, escalar compromisos mediante cadenas de suministro, y usar cargas altamente ofuscadas para mantener persistencia y sigilo.
Su evolución hacia ataques más discretos y combinados (watering hole, supply chain, spearphishing) confirma que el actor mantiene un alto nivel de recursos y sofisticación, representando un riesgo crítico para organizaciones en sectores estratégicos.
