Amenaza persistente avanzada
El APT ToddyCat despliega el malware Umbrij para secuestrar Gmail mediante el robo de tokens OAuth
La nueva herramienta de ToddyCat, Umbrij, automatiza el robo de tokens OAuth de sesiones activas de Gmail al lanzar navegadores Chromium en modo headless y controlarlos a través de puertos de depuración remota. El malware puede extraer códigos de autorización que otorgan acceso completo a Gmail, Drive, Contactos, Calendario y Tareas.

Kaspersky ha publicado un informe detallado que identifica una nueva cepa de malware llamada Umbrij, que atribuye al grupo de amenaza persistente avanzada ToddyCat. Umbrij está diseñado para robar códigos de autorización OAuth de sesiones activas de Google explotando las capacidades de depuración remota de los navegadores basados en Chromium. La técnica, denominada Shadow Token via Remote Debug (STRD), permite al adversario acceder a comunicaciones de correo electrónico corporativo alojadas en Gmail sin necesidad de credenciales de usuario.
Según Kaspersky, los atacantes desarrollaron Umbrij para adquirir tokens OAuth y utilizarlos para conectarse a la consola de administración de un navegador en modo headless a través de un puerto de depuración remota. El malware luego emite una serie de solicitudes para obtener un código de autorización OAuth, que se intercambia por un token de acceso que proporciona acceso a nivel de API a los recursos objetivo. Lo que hace que este ataque sea particularmente efectivo es que no requiere que la víctima haga clic en enlaces maliciosos ni descargue archivos adjuntos sospechosos; simplemente explota una sesión activa de Gmail en un host comprometido.
Flujo de trabajo del ataque y detalles técnicos
Umbrij es una DLL basada en .NET ofuscada con ConfuserEx y desplegada mediante DLL side-loading. Kaspersky identificó tres binarios legítimos abusados para este propósito: BDSubWiz.exe (un componente de Bitdefender), VSTestVideoRecorder.exe (parte de Microsoft Visual Studio) y GoogleDesktop.exe (una aplicación descontinuada de Google Desktop Search). El malware puede invocarse con parámetros de línea de comandos que especifican los navegadores objetivo (Google Chrome o Microsoft Edge), si se debe guardar una captura de pantalla del perfil de usuario como PDF y el nombre de usuario del sistema bajo el cual se ejecutará la herramienta.
Una vez lanzado, Umbrij realiza una serie de acciones preparatorias en un host Windows comprometido. Verifica la disponibilidad del puerto designado para la depuración del navegador, recupera el contexto del usuario buscando 'explorer.exe' y duplicando su token para conservar todos los privilegios del usuario conectado, y construye la ruta a la carpeta de la aplicación del navegador dentro de los datos locales de la aplicación del usuario. Luego, el malware analiza el archivo Local State correspondiente a Chrome o Edge para recopilar información sobre los perfiles de usuario del navegador almacenados.
Umbrij enumera todos los perfiles y los escanea en busca de un campo llamado 'user_name' que incluya una dirección de correo electrónico; la presencia de una dirección de correo electrónico indica que el usuario está autenticado en un servicio de Google. Crea un directorio 'BackupFiles' dentro de las carpetas de appdata local del navegador y copia archivos críticos del perfil como IndexedDB, Local Storage, Network, Login Data, Preferences y Web Data. Un mecanismo de copia forzada asegura que los archivos bloqueados aún se copien.
Explotación del navegador headless
Luego, el malware busca en las carpetas 'Program Files' y 'Program Files (x86)' instalaciones de Chrome y Edge. Lanza los navegadores en modo headless utilizando el perfil copiado, lo que hace que apliquen todas las cookies activas del usuario, incluida la cuenta de Google con sesión iniciada, y omitan la autenticación. Utilizando Puppeteer, una biblioteca de JavaScript para controlar navegadores basados en Chromium a través del Protocolo de Herramientas de Desarrollador de Chrome, Umbrij se conecta al puerto de depuración remota y envía una solicitud de código de autorización.
La solicitud HTTP GET dirige el navegador a una URL de OAuth de Google en 'accounts.google.com/o/oauth2/v2/auth/identifier' con un 'client_id' correspondiente a una herramienta de migración utilizada para importar archivos PST locales y datos de cuentas de Microsoft Exchange a una cuenta de Google Workspace. La solicitud también especifica el conjunto de permisos requeridos por la aplicación. JavaScript emula eventos de clic del mouse para seleccionar la cuenta de Google adecuada y otorgar acceso completo a Gmail, Drive, Contactos, Calendario y Tareas.
La sesión del navegador se redirige a una dirección local especificada en la solicitud inicial, y el código de autorización OAuth se extrae de la URL. 'Umbrij, como la mayoría de las otras herramientas en el arsenal de ToddyCat, registra sus acciones en detalle y las guarda en un archivo. También guarda el código de autorización recuperado en este archivo de registro, que el operador posteriormente extrae del host comprometido', señaló Kaspersky.
Atribución y contexto histórico
ToddyCat es el nombre asignado a un grupo APT que ha estado activo desde al menos 2020, atacando organizaciones en Europa y Asia. El grupo ha demostrado previamente interés en la exfiltración de datos de correo electrónico. En noviembre de 2025, Kaspersky detalló el uso por parte de ToddyCat de una herramienta personalizada llamada TCSectorCopy para robar datos de correo electrónico de Microsoft Outlook de empresas objetivo.
El descubrimiento de Umbrij es notable por su automatización. 'El grupo APT ToddyCat continúa buscando formas de comprometer las comunicaciones de correo electrónico corporativo. Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes de obtener acceso a cuentas de correo electrónico organizacionales. Esta automatización no solo ayuda a aumentar la escala y frecuencia de sus ataques, sino que también demuestra la fuerte motivación y las habilidades técnicas avanzadas de ToddyCat', dijo Andrey Gunkin, analista senior de malware en Kaspersky.
Consejos de mitigación
Para contrarrestar la amenaza, las organizaciones y los individuos deben revisar los códigos de autorización otorgados a las aplicaciones navegando a 'myaccount.google.com/connections' y buscando aplicaciones llamadas 'Google Workspace Migration for Microsoft Outlook' o 'Google Workspace Sync for Microsoft Outlook'. Si alguna de esas aplicaciones está presente y no se usa realmente, es esencial revocar su acceso para invalidar los tokens OAuth. Dada la sofisticación del ataque, también se recomienda a los usuarios monitorear las extensiones del navegador y asegurarse de que los navegadores basados en Chromium se mantengan actualizados.