La agrupación de ciberespionaje conocida como ToddyCat, descubierto en diciembre de 2020 tras ejecutar ciberataques de alto nivel a organizaciones de Europa y Asia, sigue siendo una de las amenazas más peligrosas. Recientemente ha incorporado en su arsenal una serie de herramientas muy refinadas y específicas con el objetivo de acceder a correos corporativos y tokens de autenticación de Microsoft 365.
Esta evolución en sus tácticas pone en evidencia hasta qué punto los atacantes especializados son capaces de sortear las defensas convencionales de las empresas.
¿Quién es ToddyCat y cuál es su modus operandi?
ToddyCat es un actor APT (Amenaza Persistente Avanzada) que opera desde 2020, con campañas documentadas en organizaciones de Europa y Asia.
En su historial figuran herramientas como Samurai y TomBerBil, diseñadas para robar cookies y credenciales almacenadas en navegadores (Chrome, Edge, y en versiones recientes también Firefox). En una de sus recientes operaciones, ToddyCat explotó una vulnerabilidad en ESET Command Line Scanner para desplegar un malware desconocido denominado TCESB.
El enfoque principal del grupo ha sido mantener el acceso persistente a infraestructuras corporativas, exportar datos sensibles y moverse lateralmente mediante backdoors, web shells o túneles SSH inversos, usando también servicios legítimos de nube y VPNs para ocultar su actividad.
Ahora, sus nuevos desarrollos apuntan directamente a la extracción de correos electrónicos corporativos y a la apropiación de tokens de acceso a Microsoft 365.
Nuevas técnicas: TCSectorCopy y robo de tokens OAuth / JWT
Copia sector por sector del buzón Outlook (OST) con TCSectorCopy
Una de las herramientas más recientes de ToddyCat es TCSectorCopy, también llamada xCopy.exe. Este programa, escrito en C++, permite copiar archivos OST (Offline Storage Table) de Outlook incluso cuando la aplicación está en uso. Para ello, el malware abre el disco como dispositivo de sólo lectura y realiza una copia secuencial sector a sector del archivo.
Una vez copiados los archivos OST, los atacantes utilizan herramientas externas para extraer su contenido, lo que revela correos electrónicos corporativos completos.
Este método permite evadir las restricciones que normalmente impiden acceder a los archivos OST cuando Outlook está abierto. El resultado: los adversarios obtienen copias completas de la correspondencia, incluida información sensible, adjuntos, metadatos, etc.
Robo de tokens Microsoft 365 desde memoria (SharpTokenFinder y ProcDump)
Además de extraer buzones locales, ToddyCat ha implementado un segundo método: sustraer tokens de autenticación OAuth 2.0 / JWT de Microsoft 365 directamente de la memoria de las aplicaciones. Para ello emplean SharpTokenFinder, una herramienta en C# que enumera las aplicaciones de Microsoft 365 y localiza los tokens en texto claro.
Si algún software de seguridad bloquea SharpTokenFinder, los atacantes recurren a ProcDump, con argumentos específicos para generar un volcado de memoria del proceso Outlook. A partir de ese volcado, se extraen los tokens JWT.
Con esos tokens, los atacantes pueden acceder a los servicios de Microsoft 365 desde fuera de la infraestructura comprometida, lo que les permite saltarse perímetros de red y controles internos.
Robustez del ataque: combinación de técnicas persistentes
La estrategia de ToddyCat demuestra un grado elevado de sofisticación: no se limitan a un único vector o técnica, sino que combinan varios métodos adaptativos según las defensas, de forma que puedan persistir, moverse lateralmente y exfiltrar datos críticos. Por ejemplo:
- En sistemas con navegadores web, TomBerBil (en su variante PowerShell) puede acceder remotamente a los datos de navegadores en controladores de dominio a través de SMB, extraer historiales, cookies y credenciales guardadas, y luego usar las claves extraídas por DPAPI para desencriptar la información.
- Esta capacidad de extraer las claves de cifrado, junto con SID y contraseña del usuario, permite a los atacantes desencriptar los datos en su propia máquina, eliminando la necesidad de ejecutar malware visible en el equipo original.
- En entornos que usan Microsoft 365, el uso de TCSectorCopy y de herramientas de volcado de memoria completa la cadena de robo de información: no sólo obtienen correos locales, sino también acceso permanente a servicios en la nube.
Implicaciones para la ciberdefensa empresarial
El caso de ToddyCat evidencia algunos riesgos clave que deberían alertar a responsables de seguridad y administradores de sistemas:
- Limitaciones del antivirus y EDR tradicional: herramientas convencionales pueden no detectar ni prevenir la copia sector por sector de archivos OST, o el volcado de memoria de procesos autorizados.
- Necesidad de control sobre tokens de autenticación y sesiones: aunque Microsoft 365 implemente buenas prácticas, su seguridad puede verse comprometida si un atacante logra extraer tokens desde memoria o cookies.
- Supervisión del uso legítimo de herramientas administrativas: ProcDump, SMB remoto, carga de tareas programadas o uso de PowerShell con privilegios elevados son comportamientos que pueden ser legítimos, pero también pueden indicar actividad sospechosa.
- Importancia de la segmentación de privilegios y del principio de menor privilegio: si un atacante logra operar con privilegios elevados en un controlador de dominio, el impacto puede ser crítico.
- Necesidad de monitorización de integridad de archivos y auditoría de accesos: revisar cambios en archivos críticos, accesos extraños al sistema de ficheros, uso inusual de herramientas administrativas, volcado de memoria, etc.
ToddyCat demuestra que los grupos APT siguen evolucionando rápidamente sus tácticas, adaptándose a los entornos corporativos modernos y explotando tanto entornos locales (Outlook/OST) como servicios en la nube (Microsoft 365). Las nuevas herramientas TCSectorCopy y SharpTokenFinder/ProcDump permiten extraer correos electrónicos completos y tokens de autenticación desde memoria, lo que supone un grave riesgo para la confidencialidad de las comunicaciones empresariales.
La combinación de técnicas stealth, persistencia, extracción de credenciales y abuso de herramientas legítimas obliga a plantear defensas más sofisticadas: detección de comportamiento, monitorización continua, segmentación estricta de privilegios, y auditoría constante tanto de entornos locales como de servicios en la nube.
Solo con una estrategia integral de ciberseguridad —y no confiando únicamente en soluciones antivirus tradicionales— las organizaciones tienen alguna posibilidad real de mitigar este tipo de amenazas avanzadas.
