El grupo chino TheWizards explota IPv6 para eliminar la puerta trasera WizardNet

ESET ha descubierto Spellbinder, una nueva herramienta utilizada por el grupo de ciberespionaje TheWizards, vinculado a China, para realizar ataques AitM y propagar su puerta trasera WizardNet a través de actualizaciones de software manipuladas.

Una sofisticada operación de ciberespionaje, vinculada a China y activa desde al menos 2022, ha sido expuesta por investigadores de seguridad de ESET. El grupo, bautizado como TheWizards por ESET, destaca por su innovador método de infiltración en redes informáticas. Según se informa, emplea una herramienta personalizada, Spellbinder, para realizar ataques de intermediario (AitM) y distribuir una sofisticada puerta trasera, bautizada como WizardNet por ESET.

El análisis en profundidad de ESET, detallado en una publicación reciente del blog, revela que Spellbinder manipula el tráfico de red a través de la suplantación de IPv6 SLAAC (configuración automática de direcciones sin estado), interceptando efectivamente actualizaciones de software chinas legítimas y redirigiéndolas a servidores controlados por los atacantes para entregar WizardNet.

WizardNet es una puerta trasera sofisticada y modular capaz de recibir y ejecutar módulos maliciosos adicionales desde un servidor C2 remoto. Esto permite a TheWizards realizar una amplia gama de actividades maliciosas en sistemas comprometidos.

Según se informa, tras obtener el acceso inicial, los atacantes implementan un archivo específico que, mediante un proceso denominado carga lateral , ejecuta el código malicioso de Spellbinder. Spellbinder, en constante evolución desde su análisis de 2022, utiliza WinPcap para capturar paquetes y explota el Protocolo de Descubrimiento de Red (NDP) de IPv6 mediante el envío de mensajes ICMPv6 de Anuncio de Enrutador (RA) manipulados.

Engaña a las víctimas para que usen la máquina del atacante como puerta de enlace, lo que permite la interceptación de tráfico. Luego, monitorea las consultas DNS de plataformas chinas específicas como Tencent, Baidu y Xiaomi, generando respuestas DNS falsas y dirigiendo a las víctimas a direcciones IP controladas por el atacante (p. ej., 43.155.1167 in 2022, 43.155.6254 in 2024 ) que distribuyen actualizaciones maliciosas.

Un caso notable consistió en el secuestro de solicitudes de actualización legítimas del software Tencent QQ por parte de Spellbinder en 2024, lo que provocó que el software descargara un archivo malicioso del servidor del atacante. Este archivo contenía un componente dañino que, al ejecutarse, instalaba la puerta trasera WizardNet.

La telemetría de ESET indica que TheWizards ha estado atacando activamente a entidades en Filipinas, Camboya, Emiratos Árabes Unidos, China continental y Hong Kong. Los objetivos incluyen desde particulares hasta empresas de juegos de azar y otras entidades aún desconocidas.

El descubrimiento inicial se debió a que Sogou Pinyin (un software de entrada de datos chino ampliamente utilizado) descargaba WizardNet. Esto sigue un patrón de abuso dirigido al proceso de actualización de Sogou Pinyin. En enero de 2024, según detalló ESET, el grupo de hackers Blackwood utilizó este método para implementar un implante llamado NSPX30.

Además, a principios de 2025, la empresa de ciberseguridad eslovaca reveló otro grupo de amenazas conocido como PlushDaemon que también aprovechó la misma técnica para distribuir un descargador personalizado llamado LittleDaemon.

Como detalla en su informe , los investigadores observaron vínculos potenciales entre TheWizards y una empresa china Sichuan Dianke Network Security Technology (UPSEC) a través del análisis del malware para Android DarkNights (DarkNimbus).

A pesar de que TheWizards utiliza principalmente WizardNet en Windows, su infraestructura sirvió a DarkNights como una actualización maliciosa para Android Tencent QQ.

Esta sofisticada manipulación de mecanismos de actualización confiables resalta la amenaza persistente y cambiante del espionaje cibernético alineado con los Estados y la necesidad constante de mejorar las medidas de seguridad y la precaución contra estas amenazas.