El grupo de ciberdelincuentes conocido como ToddyCat ha sido vinculado a un nuevo malware llamado Umbrij, diseñado para obtener acceso no autorizado a cuentas de Gmail de las víctimas a través de la API de Google.
Según un informe detallado publicado esta semana por Kaspersky, los atacantes centraron su atención en las comunicaciones de correo electrónico corporativas alojadas en Gmail, con el objetivo de comprometer el acceso a través de las API. La empresa señaló que «dado que la API de Google se basa en el protocolo OAuth 2.0 para la autorización, las aplicaciones pueden usar un token OAuth para acceder a los recursos de correo electrónico solicitados».
Se cree que el atacante desarrolló Umbrij para obtener este token y usarlo para conectarse a la consola de administración del navegador en modo sin interfaz gráfica a través de un puerto de depuración remota. Posteriormente, se emitieron varias solicitudes para obtener un código de autorización OAuth, que luego se intercambió por un token de acceso para acceder a los recursos objetivo a través de la API. Esta técnica ha sido denominada «Shadow Token via Remote Debug» (STRD) por Kaspersky.
Lo más destacable de este ataque es que funciona en navegadores basados en Chromium y aprovecha una sesión activa de Gmail. El concepto es ejecutar el navegador en modo sin interfaz gráfica, conectarse a través del puerto de depuración remota para tomar el control y utilizar una sesión de Gmail ya iniciada para acceder a los recursos de la cuenta de Google. Se han descubierto tres versiones diferentes de Umbrij, incluyendo versiones con funciones auxiliares para la depuración y para buscar y seleccionar cuentas de usuario dentro del navegador.
ToddyCat es el nombre asignado a una amenaza persistente avanzada que ha atacado a diversas organizaciones en Europa y Asia desde al menos 2020. En noviembre de 2025, Kaspersky detalló el uso que hizo el grupo de una herramienta personalizada llamada TCSectorCopy para obtener datos de correo electrónico de Microsoft Outlook pertenecientes a empresas objetivo.
Kaspersky descubrió Umbrij durante una operación de búsqueda de amenazas, en la que se utilizó una tarea programada que suplantaba la identidad de su software para ejecutar un archivo firmado digitalmente. Este archivo, a su vez, ejecutó Umbrij mediante la carga lateral de DLL, aprovechando tres binarios legítimos vulnerables a esta técnica: BDSubWiz.exe, un componente del Asistente de Envío de Bitdefender ConnectAgent; VSTestVideoRecorder.exe, un componente de la herramienta de grabación de vídeo utilizada para realizar pruebas con Microsoft Visual Studio; y GoogleDesktop.exe, una aplicación de búsqueda de escritorio de Google ya descontinuada.
Independientemente del ejecutable utilizado, el resultado final es la ejecución de la DLL maliciosa de Umbrij, escrita en .NET y ofuscada con ConfuserEx. La herramienta también puede ejecutarse mediante parámetros de línea de comandos que especifican los navegadores a los que dirigirse, le indican que guarde una captura de pantalla del perfil de usuario como archivo PDF y proporcionan el nombre de usuario del sistema con el que se ejecutará la herramienta.
Umbrij, al igual que la mayoría de las herramientas del conjunto de herramientas de ToddyCat, registra sus acciones en detalle y las guarda en un archivo. También guarda el código de autorización recuperado en este archivo de registro, que el operador posteriormente extrae del host comprometido. El código de autorización obtenido se intercambia por un token de acceso OAuth, que los ciberdelincuentes utilizan para conectarse a la cuenta de Gmail a través de la API, comprometiendo así las comunicaciones de correo electrónico corporativas.
Para contrarrestar la amenaza, se recomienda revisar los códigos de autorización otorgados a las aplicaciones accediendo a «myaccount.google[.]com/connections» y buscando aplicaciones llamadas «Google Workspace Migration for Microsoft Outlook» o «Google Workspace Sync for Microsoft Outlook». Si alguna de estas aplicaciones está presente y no se utiliza en la organización, es fundamental revocar su acceso para invalidar los tokens OAuth.
Según Andrey Gunkin, analista sénior de malware en Kaspersky, «el grupo APT ToddyCat continúa buscando formas de comprometer las comunicaciones de correo electrónico corporativas». Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes por acceder a las cuentas de correo electrónico de las organizaciones, lo que no solo contribuye a aumentar la escala y la frecuencia de sus ataques, sino que también demuestra la gran motivación y las avanzadas habilidades técnicas de ToddyCat.
Con Información de blog.segu-info.com.ar
