Los investigadores de ciberseguridad han atribuido el incidente de seguridad de DigiCert de abril de 2026 a un grupo de actividad de amenazas denominado CilíndricoCanino.
Expel, que compartió detalles técnicos del evento, describió al actor de amenazas como un subgrupo de perroojodorado (también conocido como APT-Q-27, Dragon Breath y Miuuti Group), un grupo de cibercrimen chino conocido por atacar los sectores de los juegos de azar y los juegos de azar utilizando sitios web falsificados para impulsar software con malware. Se sabe que está activo desde al menos 2015.
“En abril de 2026, GoldenEyeDog utilizó su malware para acceder al dispositivo de un miembro de soporte en DigiCert, un proveedor de certificados de firma de código, y aprovechó su acceso para robar certificados destinados a clientes de DigiCert”, dijo en un análisis el investigador de seguridad de Expel, Aaron Walton. “Este ataque destacó la capacidad del malware y de los operadores”.
Un elemento central de las operaciones del actor de amenazas es una versión modificada de Gh0st RAT (también conocido como Farfli), un troyano de acceso remoto (RAT) ampliamente utilizado por grupos de hackers chinos, incluido otro prolífico grupo de cibercrimen chino rastreado como Silver Fox. El malware modular, conocido como Golden Gh0st RAT, se distribuye mediante Golden Gh0st Loader.
En un informe publicado en noviembre de 2025, Elastic Security Labs detalló el uso por parte del adversario de un cargador de múltiples etapas con nombre en código RONINGLOADER para distribuir una variante de Gh0st RAT a través de instaladores NSIS disfrazados de programas legítimos como Google Chrome y Microsoft Teams.
A principios de este año, se observó otra campaña vinculada al grupo de hackers que orquestaba un ataque de varias etapas dirigido al personal de atención al cliente que trabajaba para empresas Web3, utilizando enlaces sospechosos enviados a través del chat de atención al cliente para entregar Gh0st RAT.
“Estos actores están utilizando malware y atacando a las víctimas de manera consistente con otras actividades de cibercrimen chinas, incluido el ataque a organizaciones financieras en la región de Asia y el Pacífico”, dijo Expel. “El malware se dirige a organizaciones financieras de la región de Asia y el Pacífico”.

Golden Gh0st RAT comparte superposiciones tácticas y de comportamiento con una carga útil detectada por el proveedor de seguridad chino QiAnXin en 2020 en relación con una campaña de ataque dirigida a la industria del juego desde 2019. También se superpone con un malware documentado por ANY.RUN en febrero de 2025 como Zhong Stealer.
El compromiso de DigiCert
Es más, se ha observado que CylindricalCanine abusa de los certificados de firma de código, obtiene acceso no autorizado a DigiCert para interceptar certificados de firma de código destinados a clientes de DigiCert y luego los utiliza para firmar su propio malware para evitar ser detectado.
En abril de 2026, la autoridad certificadora (CA) reveló que revocó certificados obtenidos de manera fraudulenta desde su portal de soporte interno después de obtener acceso a dos estaciones de trabajo de analistas de soporte mediante la ejecución de una carga útil maliciosa entregada a través de un canal de chat de un cliente.
“El 2 de abril de 2026, un actor de amenazas se puso en contacto con el equipo de soporte de DigiCert a través de un canal de chat de cliente y entregó un archivo ZIP disfrazado de captura de pantalla del cliente”, explicó DigiCert en ese momento. “El archivo contenía un ejecutable .scr con una carga maliciosa”.

“El actor de amenazas utilizó una función limitada dentro del portal de atención al cliente, que permite a los analistas de soporte de DigiCert autenticados acceder a las cuentas de los clientes desde la perspectiva del cliente para facilitar las tareas de soporte. El actor de amenazas pudo usar esta función para acceder a códigos de inicialización para pedidos que fueron aprobados pero pendientes de entrega para pedidos de certificados de firma de código EV en un conjunto finito de cuentas de clientes”.
El descuido fatal aquí fue que la posesión de un código de inicialización, junto con una orden aprobada, era “funcionalmente suficiente” para obtener certificados de firma de código EV en un conjunto de cuentas de clientes y CA. La compañía dijo que revocó 60 certificados emitidos por las siguientes CA:
- Firma de código DigiCert Trusted G4 RSA4096 SHA256 2021 CA1
- Firma de código DigiCert Trusted G4 RSA4096 SHA384 2021 CA1
- GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1
- Verokey Código seguro de alta seguridad EV
De estos, se dice que 27 estaban explícitamente vinculados al actor de la amenaza, y los certificados explotados se utilizaron como armas para firmar artefactos de malware de Zhong Stealer.
“El modelo de amenaza no tuvo en cuenta el escenario en el que los códigos de inicialización almacenados dentro del portal de soporte interno de DigiCert podrían ser vistos por una cuenta de analista de DigiCert comprometida que opera a través de la función del portal”, explicó la compañía, agregando que desde entonces ha implementado un cambio de código para enmascarar los códigos de inicialización de usuarios proxy en plataformas de la UE y EE. UU. utilizando la interfaz de usuario o la API.
Las cadenas de ataque conducen a Golden Gh0st RAT
Expel dijo que la táctica principal de CylindricalCanine es distribuir archivos disfrazados de capturas de pantalla en correos electrónicos de phishing. Los archivos están incrustados dentro de los mensajes en forma de un enlace que, cuando se hace clic, descarga cargas útiles adicionales desde un servidor externo.
El objetivo final del ataque es desencadenar una cadena de carga lateral de DLL, aprovechando un ejecutable legítimo para ejecutar una DLL fraudulenta y, al mismo tiempo, mostrar un documento PDF señuelo que muestra un error HTTP 503 “Servicio no disponible”. Luego, la DLL procede a cargar una carga útil cifrada (“update.log”).
La etapa final es Golden Gh0st RAT, que viene con una amplia gama de capacidades para configurar la persistencia, robar datos confidenciales, iniciar un túnel proxy SOCKS, suprimir la salida de pantalla, registrar pulsaciones de teclas, tomar capturas de pantalla, enumerar procesos, ejecutar comandos de shell, eliminar cargas útiles adicionales y borrar registros de eventos de Windows. Algunas de las aplicaciones a las que se dirige específicamente para la recopilación de datos incluyen Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed Browser y Tencent QQ Browser.
Los hallazgos convierten a CylindricalCanine en la última incorporación a una lista de actores de amenazas, como Black Basta, TamperedChef (también conocido como EvilAI) y Rhysida, que son conocidos por abusar de los certificados de firma de código en sus operaciones cibernéticas.
“Golden Gh0st RAT se utiliza principalmente en correos electrónicos de phishing y/o envíos a portales de soporte (estos envíos pueden ser correos electrónicos recibidos por un sistema de emisión de tickets)”, dijo Expel. “Al igual que con todas las variantes de Gh0st RAT, la capacidad del malware se maneja a través de complementos y un despachador de módulos interno”.



