UAT-10027: Amenaza a la Educación y Salud en EE.UU. con Dohdoor

Introducción

En un reciente informe de Cisco Talos, se ha descubierto un nuevo actor de amenazas, denominado UAT-10027, que tiene como objetivo a los sectores de educación y salud en Estados Unidos. Esta campaña maliciosa se caracteriza por el uso de la puerta trasera Dohdoor, que emplea DNS-over-HTTPS (DoH) para sus comunicaciones.

¿Qué sucedió?

La campaña ha estado activa desde al menos diciembre de 2025, facilitando el acceso a través de técnicas de ingeniería social, como el phishing. Las víctimas, tras ejecutar un script de PowerShell, descargan un DLL malicioso oculto en procesos legítimos de Windows. Esto permite a los atacantes repartir posteriormente cargas útiles adicionales, como el conocido Cobalt Strike Beacon.

Impacto y Riesgo

La utilización de la infraestructura de Cloudflare para ocultar los servidores de comando y control permite que las comunicaciones del malware se disfrazan como tráfico HTTPS legítimo. Esto dificulta la detección a través de soluciones de seguridad tradicionales, representando un riesgo significativo para las instituciones educativas y de salud al permitir la exfiltración de datos sensibles.

Recomendaciones

• Implementar soluciones de filtrado de contenido y supervisión de tráfico saliente.
• Capacitar al personal sobre técnicas de phishing y mejores prácticas de seguridad.
• Utilizar herramientas avanzadas de detección y respuesta ante amenazas para identificar actividades sospechosas.
• Realizar auditorías de seguridad periódicas en infraestructuras críticas.

Conclusión

La amenaza UAT-10027, a través de su sofisticada técnica de ocultamiento, subraya la importancia de la ciberseguridad en sectores críticos como la educación y la salud. Las organizaciones deben estar alerta y tomar medidas proactivas para proteger sus sistemas de este tipo de ataques.