Hackers chinos utilizaron la aplicación troyanizada UyghurEditPP para atacar a activistas uigures

Piratas informáticos vinculados a China atacaron a activistas uigures utilizando una aplicación troyanizada UyghurEditPP en una campaña de phishing, revelan investigadores de Citizen Lab.

Citizen Lab revela una campaña de phishing dirigida contra activistas uigures , que implementa malware de vigilancia camuflado en una herramienta legítima del idioma uigur. Conozca los métodos de ataque y la presunta participación del gobierno chino.

En marzo de 2025, varias figuras destacadas del Congreso Mundial Uigur (WUC), una organización internacional con sede en Múnich que defiende los derechos del pueblo uigur, se convirtieron en el blanco de un intento de espionaje cibernético cuidadosamente orquestado.

Investigadores del Citizen Lab de la Universidad de Toronto informan que estos individuos recibieron advertencias de Google indicando que sus cuentas en línea estaban siendo atacadas, supuestamente, por actores patrocinados por el Estado.

El método empleado en esta campaña fue el phishing selectivo , un tipo de ataque dirigido en el que los correos electrónicos se crean para parecer legítimos y confiables a personas específicas. En este caso, los correos electrónicos maliciosos suplantaron la identidad de un contacto conocido de una organización socia de la WUC.

Estos correos electrónicos contenían enlaces a Google Drive que, al hacer clic, descargaban un archivo comprimido protegido con contraseña. Este archivo contenía una versión comprometida de UyghurEditPP , una herramienta genuina de procesamiento de textos y corrección ortográfica de código abierto diseñada específicamente para el idioma uigur.

Los destinatarios desconocían que esta aplicación aparentemente inofensiva estaba troyanizada, lo que significa que contenía una puerta trasera oculta. Una vez ejecutada la aplicación UyghurEditPP infectada en el ordenador de la víctima, esta puerta trasera recopilaba silenciosamente información del sistema, como el nombre de la máquina, el nombre de usuario, la dirección IP, la versión del sistema operativo y un hash único derivado del hardware. Estos datos se transmitían a un servidor remoto de comando y control (C2).

Los operadores del servidor podrían luego enviar instrucciones al dispositivo infectado, lo que les permitiría realizar varias acciones maliciosas como descargar archivos del objetivo, cargar archivos maliciosos adicionales (incluido más malware) y ejecutar comandos a través de complementos cargados.

El análisis de Citizen Lab sobre la infraestructura de la campaña revela dos grupos de comando y control distintos. El primero, probablemente activo entre junio de 2024 y febrero de 2025, utilizaba nombres de dominio que imitaban al desarrollador de la herramienta UyghurEditPP ( gheyretcom, gheyretnet y uheyretcom) .

El segundo, dirigido a la WUC entre diciembre de 2024 y marzo de 2025, utilizó subdominios registrados a través de Dynu Services, incorporando palabras en uigur pero sin hacer referencia directa a la herramienta ni a su desarrollador.

Ambos clústeres compartían el mismo certificado de Microsoft y utilizaban direcciones IP de Choopa LLC, un proveedor de alojamiento utilizado por diversos actores de ciberamenazas. Esta doble infraestructura indica que los atacantes están cambiando de táctica o que se dirigen a diferentes segmentos de la comunidad uigur.

Además, los investigadores destacaron el alto nivel de ingeniería social en el método de distribución del malware de vigilancia, que en sí mismo no era tan avanzado tecnológicamente. Los atacantes demostraron un profundo conocimiento de la comunidad uigur, aprovechándose de la confianza del desarrollador original de UyghurEditPP, conocido por los miembros de la WUC.

Esto sugiere una operación altamente personalizada y específica, que posiblemente comience en mayo de 2024. La campaña probablemente involucró (PDF) vínculos con el gobierno chino, alineándose con sus conocidos esfuerzos por llevar a cabo una represión transnacional contra la comunidad uigur.