Los investigadores de ciberseguridad han detectado una nueva campaña de malspam que utiliza el dominio DoubleClick de Google como una forma de evadir la detección y, en última instancia, entregar un troyano de acceso remoto (RAT) llamado DesckVB RAT.

«Antes de que la víctima llegue a la infraestructura controlada por el atacante, el señuelo pasa por DoubleClick, un dominio legítimo propiedad de Google que es menos probable que muchas herramientas de seguridad traten como sospechoso», afirman los investigadores de Huntress, Anna Pham y Adam Mooney. dicho en un informe compartido con The Hacker News.

«A partir de ahí, la víctima pasa a un kit de malspam que se personaliza sobre la marcha utilizando la dirección de correo electrónico de la víctima, incorporando dinámicamente la marca de la empresa y los detalles de la ubicación para que la página parezca convincente sin necesidad de que los operadores creen un señuelo para cada objetivo».

Lo que hace que este ataque sea digno de mención es que elimina la necesidad de tener un kit personalizado para cada organización objetivo, lo que hace que estas operaciones sean más escalables y rentables. El objetivo final de la campaña es eliminar DesckVB RAT, un troyano basado en .NET que ha estado activo desde febrero de 2026.

El ataque comienza cuando un usuario desprevenido abre un archivo HTML adjunto a un correo electrónico de phishing. El archivo activa una redirección de meta-actualización del navegador a una URL de seguimiento de clics de Google DoubleClick Campaign Manager, desde donde se dirige al usuario a otro redirector, que decodifica la dirección de correo electrónico codificada en Base64 y lleva a la víctima a una página de destino que contiene un botón «Descargar PDF».

Al hacer clic en el botón, el servidor responde con un archivo ZIP que inicia el resto de la cadena de infección. Esto se logra mediante un cargador de JavaScript, cuya principal responsabilidad es recuperar y ejecutar un .NET RAT mientras pasa desapercibido. El script extrae y ejecuta un script de PowerShell, que luego recupera un cargador .NET de un servidor externo.

El cargador actúa como un dispositivo que verifica que no está siendo analizado, neutraliza los controles de seguridad de la máquina, configura la persistencia y, finalmente, descarga y ejecuta la carga útil RAT mediante el uso de una técnica llamada proceso hueco que implica inyectar el malware en procesos firmados por Microsoft.

Una vez iniciado, el troyano se comunica con un servidor de comando y control (C2) a través de sockets TCP sin formato, realiza reconocimiento del sistema y configura exclusiones de Microsoft Defender. El troyano también parchea la interfaz de escaneo antimalware (AARMI) y seguimiento de eventos para Windows (ETW) en el nivel API nativo desde el principio en un esfuerzo por cegar la telemetría de Windows antes de que se establezca la persistencia en el host configurando las entradas del Registro Run y ​​RunOnce, además de colocar un cargador responsable de iniciar el RAT en la carpeta de Inicio del usuario.

El malware viene con capacidades para extraer datos, ejecutar comandos y desplegar cargas útiles adicionales, otorgando a los atacantes control total sobre las máquinas infectadas, al mismo tiempo que toma medidas para pasar desapercibido al finalizar y reiniciar la máquina si detecta una herramienta de análisis o determina que se está ejecutando en un entorno aislado.

«Este es un fuerte recordatorio de por qué es importante la defensa en profundidad», dijo Huntress. «Configurar un objeto de política de grupo (GPO) en Active Directory para forzar la apertura predeterminada de archivos de script como .vbs, .hta y .js en el Bloc de notas puede detener a un actor de amenazas en la primera etapa, evitando que se eliminen cargas adicionales».

«En el frente de la seguridad del correo electrónico, las organizaciones deberían considerar implementar registros DMARC, DKIM y SPF para reducir la probabilidad de que correos electrónicos falsificados o maliciosos lleguen a los usuarios finales. Más allá de eso, una solución de puerta de enlace de correo electrónico capaz de proteger archivos adjuntos y enlaces antes de la entrega agrega otra capa significativa de protección».

Investigadores de ciberseguridad han revelado detalles de una campaña de phishing probablemente realizada por el gobierno alineado con Pakistán. Copia lateral grupo dirigido al Ministerio de Finanzas de Afganistán con un troyano de acceso remoto de código abierto llamado Xeno RAT.

«La campaña comienza con una entrega de phishing: un archivo ZIP que contiene un archivo LNK malicioso con un nombre de archivo cuidadosamente elaborado en idioma pashto», dijo Dixit Panchal, investigador de Seqrite Labs. dicho en un desglose técnico de la actividad.

También se dirigen como parte de la campaña las direcciones provinciales de ingresos y finanzas, los funcionarios gubernamentales de habla pastún y los empleados gubernamentales a nivel provincial. La campaña ha recibido el nombre en clave Operación XENOFISCAL.

La elección del pastún para el archivo señuelo es una elección deliberada por parte del atacante, ya que es el idioma principal que se habla en los círculos del gobierno afgano. Este aspecto refleja la familiaridad del atacante con el entorno objetivo.

SideCopy es el nombre dado a un grupo de amenazas vinculado a Pakistán que opera bajo el paraguas más amplio de Transparent Tribe (también conocido como APT36), utilizando una amplia gama de familias de malware para robar datos confidenciales de hosts comprometidos. En abril de 2025, el adversario fue atribuido a una serie de ataques dirigidos a varios sectores de la India con Xeno RAT, Spark RAT y CurlBack RAT.

Vista desde esa perspectiva, la última campaña es una continuación de un grupo más amplio de actividad cibernética maliciosa dirigida a entidades del sur de Asia.

Una vez ejecutado, el archivo de acceso directo de Windows (LNK) aprovecha «mshta.exe» para recuperar una aplicación HTML remota (HTA) de un dominio educativo afgano comprometido, lo que lleva a la ejecución de JavaScript ofuscado en la memoria. El malware también establece persistencia basada en el Registro al imitar a Microsoft Edge, al tiempo que elimina Xeno RAT 1.8.7 y un documento señuelo como mecanismo de distracción mediante un cargador basado en DLL.

Xeno RAT está diseñado para conectarse con un servidor remoto a través de TCP para manejar los comandos enviados por el operador. El malware está equipado para cargar y ejecutar módulos DLL externos, transmitir datos al servidor, iniciar el malware a través de una tarea programada, recuperar información antivirus, admitir túneles de red basados ​​en proxy SOCKS5, realizar operaciones de archivos, registrar pulsaciones de teclas, tomar capturas de pantalla, monitorear el portapapeles, rastrear la cámara web/micrófono, eliminar métodos de persistencia y desinstalarse del host.

La divulgación se produce cuando han surgido detalles de una operación de phishing dirigida que aprovecha archivos .desktop de Linux armados para apuntar a la infraestructura militar india utilizando señuelos relacionados con contratos asociados con operaciones de adquisición de vehículos blindados indios. Se considera que la campaña es obra de Transparent Tribe.

«La campaña parece apuntar a individuos conectados a los ecosistemas de infraestructura militar y de defensa de la India utilizando ingeniería social basada en WhatsApp y entrega de carga útil por etapas», dijo el investigador de seguridad RD Tarun. dicho en un informe publicado el mes pasado.

«Una vez ejecutado, el lanzador malicioso .desktop inicia una cadena de infección basada en shell muy ofuscada que involucra recuperación de carga útil por etapas, rutinas de decodificación en línea y la implementación de un implante ELF basado en Golang rastreado en este informe como DeskRAT».

América Latina y Europa se convierten en el objetivo de dos campañas de troyanos bancarios diseñados para infectar dispositivos Windows y Android con malware Grandoreiro y BTMOB, respectivamente.

Esto es según nuevos hallazgos de WatchGuard y ESET, que han observado que las dos familias de malware se utilizan para identificar empresas en España, Portugal y México, así como usuarios de dispositivos móviles en Brasil.

La campaña Grandoreiro «utiliza la técnica DLL Side-Loading abusando de cuatro software diferentes, apuntando a bancos en Portugal», dijo el investigador de WatchGuard Euler Neto. dicho.

Activo desde 2016, Grandoreiro es un malware bancario en evolución activa que es capaz de robar credenciales asociadas con miles de instituciones financieras en 45 países y territorios. Por lo general, se distribuye a través de correos electrónicos de phishing, instruyendo a los destinatarios a hacer clic en enlaces incompletos.

A pesar de algunos arrestos e intentos de las autoridades brasileñas de desmantelar su infraestructura a principios de 2024, el malware ha seguido ampliando su alcance, al tiempo que incorpora comprobaciones CAPTCHA para resistir el análisis.

Se descubrió que la última campaña señalada por WatchGuard aprovecha la carga lateral de DLL para lanzar DLL desarrolladas en Delphi 11, un lenguaje de programación comúnmente utilizado para malware dirigido a la región. Se ha descubierto que dos de las DLL (mingwm10.dll y libwebp.dll) incorporan sgcWebSocketsuna biblioteca de WebSocket y comunicación en tiempo real, para comunicaciones peer-to-peer (P2P) y WebRTC.

«Las DLL asociadas con este caso utilizan las utilidades de recorrido de sesión para NAT (ATURDIR), que es un protocolo que ayuda a los dispositivos detrás de una NAT a descubrir su dirección IP pública y número de puerto, lo que permite la comunicación entre pares», explicó WatchGuard.

«La ventaja para los actores de amenazas de utilizar tráfico de conferencias web en sus campañas se debe a que este tráfico es ruidoso, difícil de monitorear y a que WebRTC se usa comúnmente en todas las principales plataformas de conferencias web».

Otras dos DLL asociadas con la campaña son libffi-6.dll y libpng15.dll, que utilizan Interactive Connectivity Establishment (HIELO) protocolo en lugar de STUN para lograr el mismo objetivo. Estos ficheros hacen referencia específica a bancos e instituciones financieras que operan en Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos y Santander, entre otros. También son objetivos Revolut y Wise.

WatchGuard también dijo que identificó otra campaña en el que se utilizan correos electrónicos de phishing para entregar un archivo ZIP alojado en Mediafire. El archivo contiene un script de Visual Basic ofuscado que es responsable de iniciar un ejecutable, que muestra un mensaje que solicita a los usuarios que actualicen Adobe Reader haciendo clic en un botón incrustado en la alerta.

Al hacerlo, se activa una serie de comprobaciones destinadas a evitar la detección y complicar el análisis de malware, antes de lanzar la carga útil final para robar información bancaria y datos confidenciales. Algunas de las tácticas se superponen con una campaña anterior de Grandoreiro detallada por Kaspersky en octubre de 2024.

«La historia más importante aquí no es sólo que Grandoreiro todavía esté activo», dijo WatchGuard. «El problema es que los grupos de amenazas motivados financieramente continúan adaptándose rápidamente, reutilizando servicios legítimos y escondiéndose dentro de patrones de tráfico en los que muchas organizaciones ya pueden confiar».

«Al combinar phishing, carga lateral de DLL, componentes relacionados con WebRTC, abuso de servicios en la nube y comprobaciones antianálisis, estas campañas muestran cómo el malware bancario se está volviendo más difícil de detectar solo con defensas a nivel de superficie».

BTMOB ofrece herramientas de campaña listas para usar

La divulgación coincide con un informe de ESET sobre BTMOB, un troyano de acceso remoto (RAT) de Android que surgió por primera vez en febrero de 2025 con capacidades para desbloquear dispositivos, capturar capturas de pantalla, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones de HTML cuando se abren ciertas aplicaciones y habilitar el control remoto. Una iteración posterior introducido la capacidad de capturar PIN de Alipay.

«El RAT también se vende con una interfaz de creación de APK, lo que permite a cualquiera generar nuevas cargas útiles y adaptar señuelos de phishing para regiones específicas con rapidez y sin escribir ningún código», dijo el investigador de ESET Daniel Cunha Barbosa. dicho.

Estas herramientas listas para usar reducen aún más el tiempo y el esfuerzo necesarios para realizar un compromiso completo del dispositivo. El método principal a través del cual se propaga el malware es a través de la ingeniería social, donde a los usuarios se les envían enlaces a sitios web falsos que se hacen pasar por servicios de transmisión por secuencias o plataformas de minería de criptomonedas.

Desde esos sitios, las víctimas son dirigidas a listados falsos de aplicaciones de Google Play Store que las engañan para que instalen un archivo de paquete de Android (APK) que contiene el malware. Una vez instalado, el malware busca permisos para utilizar los servicios de accesibilidad de Android y luego los aprovecha para otorgarse acceso adicional al sistema sin ninguna interacción del usuario.

Se cree que BTMOB es el sucesor de las familias CraxsRAT, CypherRAT y SpySolr. En mayo de 2026, la última versión del malware es la 4.5.5 y afirma ofrecer protección APK mejorada y compatibilidad con las últimas actualizaciones de Google Play.

«Esta actualización tiene que ver con la velocidad y la estabilidad», un perfil X supuestamente vinculado al malware al corriente el 1 de mayo de 2026. «Hemos ampliado nuestra infraestructura y perfeccionado el constructor para mantenerlo a la vanguardia de los últimos parches de seguridad móvil».

El troyano es anunciado por un actor de amenazas llamado EVLF (@craxso) por un precio de 700 dólares al mes. Según un vídeo de YouTube compartido según el autor del malware el 1 de mayo de 2026, una licencia de por vida vale 1200 dólares. El código fuente completo del servidor está disponible por 7.000 dólares, lo que permite a los clientes alojar los paneles de comando y control (C2) en su propia infraestructura.

Tan recientemente como esta semana, el perfil X también compartió un enlace a un Artículo mediano sobre «cómo BTMOB RAT está convirtiendo los teléfonos Android en armas controladas remotamente» y ha estado «evolucionando rápidamente» desde principios de 2025.

«Se cuela a través de sitios de phishing, capta servicios de accesibilidad y convierte su teléfono en una marioneta», se lee en el artículo. «Los piratas informáticos observan tu pantalla en vivo. Roban datos bancarios. Incluso extraen criptomonedas en segundo plano mientras navegas por Instagram».

Curiosamente, el artículo fue publicado por una cuenta denominada «Desarrollador principal de CraxsRAT». La biografía de la cuenta afirma que es un «cibercriminal hábil e ingenioso que construyó una rentable empresa de cibercrimen vendiendo malware RAT altamente avanzado a otros actores de amenazas».

El hecho de que BTMOB se venda bajo un modelo de malware como servicio (MaaS) corre el riesgo de reducir la barrera de entrada para actores de amenazas menos sofisticados. Esto se ve agravado por informes de que versiones filtradas ya están circulando en foros clandestinos y Telegram, lo que aumenta el riesgo de abuso por parte de imitadores y otros aspirantes a delincuentes.

«El acceso rara vez permanece contenido para siempre, y la herramienta puede trasladarse a mercados secundarios mediante la reventa, el trueque o el intercambio dentro de grupos cerrados», dijo ESET. «Las familias de malware competidoras también pueden copiar algunos elementos que facilitan la personalización de la carga útil y la gestión de campañas para los delincuentes menos hábiles».

La empresa italiana de ciberseguridad D3Lab, en un análisis del kit de herramientas de desarrollo BTMOB RAT filtrado y publicado en diciembre de 2025, dijo que incluía el código fuente de la carga útil de Android, su cuentagotas, un entorno de creación, el panel del operador para Windows, el backend C2 y todas las dependencias de software necesarias para implementar la plataforma.

«La filtración de BTMOB proporciona una perspectiva poco común sobre el funcionamiento interno de un ecosistema moderno de Android RAT como servicio», D3Lab anotado En el momento. «Demuestra que el actor de amenazas opera no simplemente como un desarrollador que vende un conjunto de herramientas, sino como un proveedor de servicios que impone licencias, autenticación y control de versiones a sus clientes».

Investigadores de ciberseguridad han arrojado luz sobre un malware multiplataforma llamado remotoPE que ha sido utilizado por el Grupo Lazarus, vinculado a Corea del Norte, en ataques dirigidos a organizaciones financieras y de criptomonedas.

RemotePE, según Fox-IT, filial del grupo NCC, es parte de una cadena de ataque de varias etapas que involucra dos cargadores rastreados como DPAPILoader y RemotePELoader.

«DPAPILoader descifra y carga RemotePELoader desde el disco utilizando la API de protección de datos de Windows (DPAPI),», investigadores de seguridad Yun Zheng Hu y Mick Koomen dicho. «RemotePELoader se dirige a un servidor C2 y espera hasta que recibe la siguiente etapa: RemotePE, un RAT ejecutado completamente en la memoria y nunca escrito en el disco, sin dejar artefactos en el sistema de archivos».

RemotePE fue destacado por primera vez por el proveedor de seguridad en septiembre de 2025 en relación con un ataque dirigido a una organización anónima en el sector de las finanzas descentralizadas (DeFi), lo que llevó a la implementación de tres familias de malware, incluidas PondRAT, ThemeForestRAT y RemotePE.

La intrusión comenzó con el compromiso del dispositivo de un empleado mediante ingeniería social, después de haberse acercado a la víctima en Telegram bajo la apariencia de un empleado existente de una empresa comercial y programar una reunión en dominios falsos de Calendly y Picktime.

La secuencia de infección de RemotePE pasa por tres etapas, con la DLL DPAPILoader («Iassvc.dll») responsable de descifrar y cargar una carga útil cifrada desde el disco mediante DPAPI. El primer artefacto DPAPILoader se remonta a noviembre de 2023.

La carga útil descifrada es otro cargador, RemotePELoader, que está diseñado para contactar con un servidor remoto («aes-secure[.]net») a través de HTTP, recupera el módulo principal y lo ejecuta en la memoria, no sin antes tomar medidas para evadir la detección utilizando técnicas como puerta del infierno y parchear el seguimiento de eventos para Windows (ETW).

La etapa final es un troyano de acceso remoto completo llamado RemotePE que está escrito en C++ y sondea un servidor de comando y control (C2) para obtener más instrucciones. El malware admite seis categorías de comandos, lo que le permite:

• Obtener o modificar la configuración del C2
• Obtenga o cambie el directorio de trabajo actual, registre un nuevo módulo DLL, obtenga archivos DLL cargados y descargue un DLL
• Realizar operaciones de archivos
• Obtenga una lista de procesos en ejecución, cree un nuevo proceso o elimine el proceso por ID
• Dormir durante un intervalo predeterminado o salir de RemotePE
• Hacer ping al servidor

Un aspecto notable del comando de eliminación de archivos es que sobrescribe cada archivo con bytes constantes siete veces antes de cambiarle el nombre y eliminarlo, un patrón que también se observa en PondRAT y POOLRAT (también conocido como SIMPLESEA). Se considera que PondRAT es una versión ligera de POOLRAT.

Fox-IT dijo que obtuvo cuatro muestras de RemotePE que indican que la RAT estuvo en desarrollo activo entre mediados de 2023 y mediados de 2024. La primera versión tiene una marca de tiempo del 4 de julio de 2023.

«La clave ambiental del conjunto de herramientas, la ejecución sólo en memoria, la evasión de EDR y la baja huella forense sugieren que está diseñado específicamente para campañas de observación a largo plazo», dijeron los investigadores. «Esto permite al actor mantener silenciosamente el acceso durante un período prolongado antes de pasar a un objetivo final de alto impacto, como el robo de datos o un atraco financiero a gran escala, en consonancia con la historia conocida de este actor».

«El modelo de entrega actor-in-the-loop y la baja tasa de detección del conjunto de herramientas (ni RemotePELoader ni RemotePE aparecieron en VirusTotal antes de esta publicación) sugieren que este conjunto de herramientas puede estar reservado para objetivos de alto valor donde el objetivo es el acceso sigiloso a largo plazo, consistente con el conocido enfoque de este subgrupo de Lazarus en organizaciones financieras y de criptomonedas».

Un implante de Linux previamente indocumentado con nombre en código RAT de Quasar Linux (QLNX) se dirige a los sistemas de los desarrolladores para establecer un punto de apoyo silencioso y facilitar una amplia gama de funciones posteriores al compromiso, como recolección de credenciales, registro de teclas, manipulación de archivos, monitoreo del portapapeles y túneles de red.

«QLNX se dirige a los desarrolladores y a las credenciales de DevOps en toda la cadena de suministro de software», afirman los investigadores de Trend Micro Aliakbar Zahravi y Ahmed Mohamed Ibrahim. dicho en un análisis técnico del malware.

«Su recolector de credenciales extrae secretos de archivos de alto valor como .npmrc (tokens npm), .pypirc (credenciales PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciales Terraform, tokens CLI de GitHub y archivos .env. El compromiso de estos activos podría permitir al operador impulsar archivos maliciosos paquetes a registros NPM o PyPI, acceder a la infraestructura de la nube o pasar a través de canalizaciones de CI/CD».

La capacidad del malware para recopilar sistemáticamente una amplia gama de credenciales plantea un grave riesgo para los entornos de desarrollo. Un actor de amenazas que implementa QLNX con éxito contra un mantenedor de paquetes obtiene acceso no autorizado a su canal de publicación, lo que permite al atacante impulsar versiones envenenadas que pueden provocar impactos posteriores en cascada.

QLNX se ejecuta sin archivos desde la memoria, se hace pasar por un subproceso del kernel (por ejemplo, kworker o ksoftirqd) y es capaz de crear perfiles del host para detectar entornos en contenedores, borrar registros del sistema para cubrir las pistas y configurar la persistencia utilizando no menos de siete métodos diferentes, incluidos systemd, crontab y .bashrc shell injection.

Además, extrae los datos recopilados a una infraestructura controlada por el atacante y recibe comandos que permiten ejecutar comandos de shell, administrar archivos, inyectar código en procesos, tomar capturas de pantalla, registrar pulsaciones de teclas, establecer servidores proxy SOCKS y túneles TCP, ejecutar archivos de objetos Beacon (BOF) e incluso administrar una red de malla peer-to-peer (P2P).

No está claro exactamente cómo se distribuye el malware. Sin embargo, una vez que se establece un punto de apoyo, ingresa a una fase operativa primaria al ejecutar un bucle persistente que intenta continuamente establecer y mantener la comunicación con el servidor de comando y control (C2) a través de TCP, HTTPS y HTTP sin formato. En total, QLNX admite 58 comandos distintos que brindan a los operadores un control total del host comprometido.

QLNX también viene con una puerta trasera de gancho en línea del Módulo de autenticación conectable (PAM) que intercepta las credenciales de texto sin formato durante los eventos de autenticación, registra los datos de la sesión SSH saliente y transmite los datos al servidor C2. El malware también admite un segundo registrador de credenciales basado en PAM que se carga automáticamente en cada proceso vinculado dinámicamente para extraer el nombre del servicio, el nombre de usuario y el token de autenticación.

Emplea una arquitectura de rootkit de dos niveles: un rootkit de usuario implementado a través del mecanismo LD_PRELOAD del vinculador dinámico de Linux para garantizar que los artefactos y procesos del implante permanezcan ocultos. También existe un componente eBPF a nivel de kernel que utiliza el subsistema BPF para ocultar procesos, archivos y puertos de red de herramientas estándar del usuario como ps, ls y netstat al recibir instrucciones del servidor C2.

«El implante QLNX fue construido para el robo de credenciales y sigilo a largo plazo», dijo Trend Micro. «Lo que lo hace particularmente peligroso no es una sola característica, sino cómo sus capacidades se encadenan en un flujo de trabajo de ataque coherente: llegar, borrar del disco, persistir a través de seis mecanismos redundantes, ocultarse tanto en el espacio de usuario como en el nivel del kernel, y luego recolectar las credenciales que más importan».

Investigadores de ciberseguridad han revelado detalles de una intrusión que implicó el uso de una herramienta de acceso remoto (RAT) de CloudZ y un complemento no documentado anterior denominado Pheno con el objetivo de facilitar el robo de credenciales.

«De acuerdo con las funcionalidades del complemento CloudZ RAT y Pheno, esto tenía la intención de robar las credenciales de las víctimas y, potencialmente, contraseñas de un solo uso (OTP)», los investigadores de Cisco Talos, Alex Karkins y Chetan Raghuprasad. dicho en un análisis del martes.

Lo que hace que el ataque sea novedoso es que CloudZ utiliza el complemento Pheno personalizado para secuestrar el puente establecido de PC a teléfono abusando de la aplicación Microsoft Phone Link, lo que permite que el complemento monitoree los procesos activos de Phone Link y potencialmente intercepte datos móviles confidenciales como SMS y contraseñas de un solo uso (OTP) sin la necesidad de implementar malware en el teléfono.

Los hallazgos demuestran cómo las funciones legítimas de sincronización entre dispositivos pueden exponer vías de ataque no deseadas al robo de credenciales y ayudar a evitar la autenticación de dos factores. Es más, evita la necesidad de comprometer el propio dispositivo móvil.

El malware, según la empresa de ciberseguridad, se ha utilizado como parte de una intrusión que ha estado activa desde al menos enero de 2026. La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido.

Integrado en Windows 10 y Windows 11, Enlace telefónico ofrece una forma para que los usuarios emparejen su computadora con un dispositivo Android o iPhone a través de Wi-Fi y Bluetooth, lo que les permite hacer o recibir llamadas telefónicas, enviar mensajes y descartar notificaciones.

Se han observado actores de amenazas desconocidos que intentan aprovechar la aplicación utilizando CloudZ RAT y Pheno para confirmar la actividad de Phone Link en un entorno de víctima y luego acceder al archivo de base de datos SQLite utilizado por el programa para almacenar los datos sincronizados del teléfono.

Se dice que la cadena de ataque empleó un método de acceso inicial aún indeterminado para obtener un punto de apoyo y soltar un ejecutable falso de ConnectWise ScreenConnect que es responsable de descargar y ejecutar un cargador .NET. El cuentagotas inicial también utiliza un script de PowerShell integrado para establecer la persistencia mediante la configuración de una tarea programada que ejecuta el cargador .NET malicioso.

El cargador intermedio está diseñado para ejecutar comprobaciones de hardware y entorno para evadir la detección e implementar el troyano modular CloudZ en la máquina. Una vez ejecutado, el troyano compilado en .NET descifra una configuración incrustada, establece una conexión de socket cifrada con el servidor de comando y control (C2) y espera instrucciones codificadas en Base64 que le permiten extraer credenciales e implantar complementos adicionales.

Algunos de los comandos admitidos por CloudZ incluyen:

• pong, para enviar respuestas de latidos del corazón
• PING!, para emitir una solicitud de latido
• CERRAR, para finalizar el proceso troyano
• INFO, para recopilar metadatos del sistema
• RunShell, para ejecutar el comando de shell
• BrowserSearch, para filtrar datos del navegador web
• GetWidgetLog, para filtrar registros y datos de reconocimiento de Phone Link
• complemento, para cargar un complemento
• savePlugin, para guardar un complemento en el disco en el directorio provisional («C:\ProgramData\Microsoft\whealth\»)
• sendPlugin, para cargar un complemento al servidor C2
• RemovePlugins, para eliminar todos los módulos de complementos implementados
• Recuperación, para permitir la recuperación o la reconexión
• DW, para realizar operaciones de descarga y escritura de archivos.
• FM, para realizar operaciones de gestión de archivos.
• Msg, para enviar un mensaje al servidor C2
• Error, para informar errores al servidor C2
• rec, para grabar la pantalla

«El atacante utilizó un complemento llamado Pheno para realizar un reconocimiento de la aplicación Windows Phone Link en la máquina víctima», dijo Talos. «El complemento realiza un reconocimiento de la aplicación Microsoft Phone Link en la máquina víctima y escribe los datos de reconocimiento en un archivo de salida en una carpeta provisional. CloudZ vuelve a leer los datos de la aplicación Phone Link de la carpeta provisional y los envía al servidor C2».

Los investigadores de ciberseguridad han descubierto código malicioso en un paquete npm después de un paquete malicioso como una dependencia del proyecto del modelo de lenguaje grande (LLM) Claude Opus de Anthropic.

El paquete en cuestión es «@validar-sdk/v2,», que figura en npm como un kit de desarrollo de software (SDK) de utilidad para hash, validación, codificación/decodificación y generación aleatoria segura. Sin embargo, su funcionalidad real es saquear secretos confidenciales del entorno comprometido. El paquete, que muestra signos de estar codificado por vibración utilizando inteligencia artificial (IA) generativa, se cargó por primera vez en el repositorio en octubre de 2025.

La campaña de malware ha recibido el nombre en clave rápidoVisón por ReversingLabs, que vinculó la actividad como parte de una campaña más amplia montada por el actor de amenazas norcoreano conocido como Chollima famosa (también conocido como Shifty Corsair), que está detrás de la campaña de entrevistas contagiosas de larga duración y la estafa fraudulenta de trabajadores de TI.

«La nueva campaña de malware […] involucra un paquete contaminado que se introdujo en un compromiso del 28 de febrero con un agente comercial autónomo», dijo el investigador de ReversingLabs Vladimir Pezo. dicho en un informe compartido con The Hacker News. «El el compromiso fue coautor por el modelo de lenguaje grande (LLM) Claude Opus de Anthropic. Permite a los atacantes acceder a las carteras y fondos criptográficos de los usuarios».

El paquete aparece como una dependencia de otro paquete npm llamado «@solana-launchpad/sdk«, que, a su vez, es utilizado por un tercer paquete llamado «cementerio-openpaw«, que se describe como un «agente de IA autónomo» que crea una identidad social en cadena en la cadena de bloques de Solana utilizando el Protocolo del tapizcomercializa criptomonedas a través de banqueroasí como interactúa con otros agentes en Moltbook.

ReversingLabs dijo que los paquetes generados por el agente de IA se agregaron como una dependencia en una confirmación realizada en febrero de 2026, lo que provocó que el paquete del agente ejecutara código malicioso y brindara a los atacantes acceso a través de credenciales filtradas a las billeteras y fondos de criptomonedas de la víctima.

El ataque adopta un enfoque por fases, donde los paquetes de la primera capa no contienen ningún código malicioso, sino que importan paquetes de la segunda capa que en realidad incorporan la funcionalidad nefasta. Si el segundo grupo se detecta o elimina de npm, se reemplaza rápidamente.

Algunos de los paquetes de primera capa identificados se enumeran a continuación:

• @solana-launchpad/sdk
• @meme-sdk/comercio
• @ validar-ethereum-address/core
• @solmasterv3/solana-metadatos-sdk
• @pumpfun-ipfs/sdk
• @solana-ipfs/sdk

«Implementan algunas funciones relacionadas con las criptomonedas», explicó ReversingLabs. «Y cada paquete enumera muchas dependencias, la mayoría de las cuales son paquetes npm populares con recuentos de descargas de millones y miles de millones, como axios, bn.js, etc. Sin embargo, una pequeña cantidad de dependencias son paquetes maliciosos de la segunda capa».

Los actores de amenazas emplean varias técnicas para ayudar a que los paquetes maliciosos escapen a la detección. Estas incluyen la creación de una versión maliciosa de las funciones ya presentes en los paquetes populares enumerados. Otra técnica utiliza typosquatting, donde los nombres y descripciones imitan bibliotecas legítimas.

La primera versión del paquete publicada en npm como parte de esta campaña se remonta a septiembre de 2025, cuando se cargó «@hash-validator/v2» en el registro. La decisión de dividir al ladrón de criptomonedas en dos partes (un cebo benigno que descarga el malware real) puede haberlo ayudado a evadir la detección y ayudar a ocultar la verdadera escala del ataque.

Vale la pena señalar que algunos aspectos de la actividad fueron documentado por JFrog dos meses después, destacando el uso de dependencias transitivas por parte del actor de amenazas para ejecutar código malicioso en sistemas de desarrolladores y desviar datos valiosos.

En los meses intermedios, la campaña ha experimentado varias transformaciones, incluso apuntando al índice de paquetes Python (PyPI) al impulsar un paquete malicioso («scraper-npm») con la misma funcionalidad en febrero de 2026. Tan recientemente como el mes pasado, se observó que los actores de amenazas establecían un acceso remoto persistente a través de SSH y utilizaban cargas útiles compiladas por Rust para exfiltrar proyectos completos que contienen código fuente y otra propiedad intelectual de los sistemas comprometidos.

Las primeras versiones del malware eran ladrones ofuscados basados ​​en JavaScript que escaneaban el directorio de trabajo actual de forma recursiva en busca de archivos .env o .json y los preparaban para su filtración a una URL de Vercel («ipfs-url-validator.vercel.app»), una plataforma de la que Famous Chollima abusaba repetidamente en sus campañas.

Si bien las iteraciones posteriores vinieron integradas con PromptMink en forma de una aplicación ejecutable única (SEA) de Node.js, también sufrió una desventaja notable, ya que provocó que el tamaño de la carga útil creciera de apenas 5,1 KB a alrededor de 85 MB. Se dice que esto provocó que los actores de amenazas pasaran a utilizar NAPI-RS para crear complementos de Node.js precompilados en Rust.

La evolución del malware desde un simple ladrón de información hasta un recolector multiplataforma especializado dirigido a Windows, Linux y macOS capaz de eliminar puertas traseras SSH y recopilar proyectos completos demuestra que los actores de amenazas norcoreanos siguen apuntando al ecosistema de código abierto para apuntar a los desarrolladores en el espacio Web3.

Famous Chollima está «aprovechando el código generado por IA y una estrategia de paquete en capas para evadir la detección y engañar de manera más efectiva a los asistentes de codificación automatizados que a los desarrolladores humanos», agregó ReversingLabs.

Surge un comerciante contagioso

Los hallazgos coinciden con el descubrimiento de un paquete npm malicioso llamado «express-session-js» que se cree que está vinculado a la campaña Contagious Interview, con la biblioteca actuando como un conducto para un gotero que recupera una carga útil ofuscada de segunda etapa de JSON Keeper, un servicio de pegado.

«La desofuscación estática de la carga útil de la etapa 2 revela un troyano de acceso remoto (RAT) completo y un ladrón de información que se conecta a 216[.]126[.]237[.]71 a través de Socket.IO, con capacidades que incluyen robo de credenciales del navegador, extracción de billetera criptográfica, captura de pantalla, monitoreo del portapapeles, registro de teclas y control remoto del mouse/teclado», SafeDep anotado este mes.

Curiosamente, el uso de paquetes legítimos como «socket.io-client» para comunicación de comando y control (C2), «screenshot-desktop» para captura de pantalla, «sharp» para compresión de imágenes y «clipboardy» para acceso al portapapeles se superpone con el de OtterCookie, un conocido malware ladrón atribuido a la campaña.

Lo novedoso esta vez es la adición del paquete «@nut-tree-fork/nut-js» para el control del mouse y el teclado, lo que sugiere intentos más amplios de actualizar las capacidades de RAT para facilitar el control interactivo de los hosts infectados.

Cadena de implementación de OtterCookie

OtterCookie, por su parte, ha sido testigo de su propia maduración, distribuyéndose a través de un proyecto de ajedrez 3D de código abierto troyanizado alojado en Bitbucket y paquetes npm maliciososcomo «gemini-ai-checker», «express-flowlimit» y «chai-extensions-extras».

Un tercer método ha empleado un enfoque de muñeca Matryoshka como parte de un campaña apodado Comerciante contagioso. El ataque comienza con el descargar de un paquete contenedor benigno (por ejemplo, «bjs-biginteger»), que luego procede a descargar una dependencia maliciosa (por ejemplo, «bjs-lint-builder») y finalmente instala el ladrón.

Superposiciones entre entrevista contagiosa, comerciante contagioso y graphalgo

«Las recientes campañas orquestadas por Shifty Corsair demuestran la creciente amenaza de las operaciones cibernéticas alineadas por el Estado de la RPDC», dijo el investigador de BlueVoyant, Curt Buchanan. dicho. «Su rápida evolución, desde la codificación estática Obfuscator.io hasta la ofuscación personalizada con rotación dinámica, y su abuso de la infraestructura C2 alojada en Vercel, demuestra una maduración en sus capacidades operativas».

Graphalgo utiliza empresas falsas para eliminar RAT

El avance es significativo ya que el actor de la amenaza ha sido vinculado simultáneamente a otra campaña en curso denominada grafico que atrae a los desarrolladores que utilizan empresas falsas y aprovecha entrevistas de trabajo y pruebas de codificación falsas para entregar paquetes npm maliciosos a sus sistemas.

La campaña se desarrolla así: los piratas informáticos emplean tácticas de ingeniería social en plataformas de búsqueda de empleo y redes sociales para engañar a posibles objetivos para que descarguen proyectos alojados en GitHub como parte de una evaluación. Estos proyectos, a su vez, contienen una dependencia de un paquete malicioso publicado en npm o PyPI, cuyo objetivo principal es implementar un troyano de acceso remoto (RAT) en la máquina.

Para llevar a cabo el ataque, los operadores crearon una red de empresas falsas, con perfiles convincentes en plataformas como GitHub, LinkedIn y X para darles una apariencia de legitimidad y hacer que el engaño sea más convincente. En el caso de Blocmerce, los atacantes incluso llegaron al extremo de registrándose una corporación de responsabilidad limitada (LLC) en el estado estadounidense de Florida con el mismo nombre en agosto de 2025. Los nombres de algunas de las empresas utilizadas para el phishing frontal son los siguientes:

• Capital Veltrix
• Blockmerce
• Finanzas Bridgers

«Estas organizaciones están vinculadas a varias organizaciones de GitHub relacionadas con empresas de blockchain que han estado activas en GitHub desde junio de 2025», dijo el investigador de seguridad de ReversingLabs, Karlo Zanki. dicho. «Su propósito es brindar confiabilidad a ofertas de trabajo falsas y albergar tareas de entrevistas de trabajo falsas».

También se han detectado versiones recientes de la campaña que utilizan una técnica diferente para alojar dependencias maliciosas. En lugar de publicarlos en npm o PyPI, se alojan como un artefacto de lanzamiento en repositorios de GitHub, probablemente en un esfuerzo por minimizar el riesgo de detección.

«La referencia a la dependencia maliciosa está enterrada en lo más profundo de la lista de dependencias transitivas. El campo resuelto en el archivo package-lock.json indica al administrador de paquetes dónde obtener dependencias de paquetes específicas», señaló ReversingLabs. «Mientras que todas las demás dependencias se obtienen del registro oficial de npm, la maliciosa se obtiene directamente de un artefacto de lanzamiento ubicado en un repositorio GitHub diseñado».

La lista de paquetes npm se encuentra a continuación:

• gráfico dinámico
• Graphbase-js
• Graphlib-js

El ataque culmina con la implementación de una RAT que puede recopilar información del sistema, enumerar archivos y directorios, enumerar procesos en ejecución, crear carpetas, cambiar el nombre de archivos, eliminar archivos y cargar/descargar archivos.

En las últimas semanas, un grupo de amenazas patrocinado por el Estado norcoreano rastreado como UNC1069 también ha sido vinculado con el compromiso de «axios», uno de los paquetes npm más populares, destacando la continua amenaza que enfrentan los repositorios de código abierto de Pyongyang.

Desde entonces, los atacantes detrás de la brecha han publicado un nuevo paquete npm llamado «csec-crypto-utils» que contiene una «carga útil actualizada» que sustituye el cuentagotas RAT por un ladrón de datos que exfolia las claves de AWS, los tokens de GitHub y los archivos de configuración .npmrc a un servidor externo («csec-c2-server.onrender[.]com»).

En su informe que detalla el compromiso de la cadena de suministro, Hunt.io empató el ataque a un subgrupo del Grupo Lazarus conocido como BlueNoroff, citando superposiciones de infraestructura y las similitudes de RAT con NukeSped.

«El uso de técnicas y tácticas avanzadas por parte de los actores de amenazas, así como un nivel sorprendente de preparación de campaña (creación de una LLC en Florida) y su capacidad de adaptación, hace que los actores de amenazas norcoreanos sean una amenaza importante para las organizaciones o desarrolladores individuales centrados en las criptomonedas», dijo ReversingLabs.

Se ha observado una «novedosa» campaña de ingeniería social que abusa de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.

Apodado REF6598 Según Elastic Security Labs, se descubrió que la actividad aprovecha elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS, acercándose a personas potenciales bajo la apariencia de una empresa de capital de riesgo y luego trasladando la conversación a un grupo de Telegram donde están presentes varios supuestos socios.

El chat grupal de Telegram está diseñado para darle a la operación una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de liquidez de criptomonedas. Luego se le indica al objetivo que use Obsidian para acceder a lo que parece ser un panel compartido conectándose a un bóveda alojada en la nube utilizando las credenciales que se les proporcionaron.

Es esta bóveda la que desencadena la secuencia de infección. Tan pronto como se abre la bóveda en la aplicación para tomar notas, se solicita al objetivo que habilite la sincronización de «Complementos comunitarios instalados», lo que provoca efectivamente la ejecución de código malicioso.

«Los actores de amenazas abusan del ecosistema legítimo de complementos comunitarios de Obsidian, específicamente el Comandos de shell y Ocultador complementos, para ejecutar código silenciosamente cuando una víctima abre una bóveda en la nube compartida», dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.

Dado que la opción está deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronización del complemento comunitario en su dispositivo para que la configuración de la bóveda maliciosa pueda activar la ejecución de comandos a través del complemento Shell Commands. También se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, la información sobre herramientas y otros.

«Si bien este ataque requiere ingeniería social para cruzar el límite de sincronización de complementos de la comunidad, la técnica sigue siendo notable: abusa de una característica de aplicación legítima como canal de persistencia y ejecución de comandos, la carga útil reside completamente dentro de archivos de configuración JSON que es poco probable que activen AV tradicionales. [antivirus] firmas y la ejecución se realiza mediante una aplicación Electron confiable y firmada, lo que hace que la detección basada en procesos principales sea la capa crítica», dijeron los investigadores.

Las rutas de ejecución dedicadas se activan según el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en código PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.

PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor de comando y control (C2) recuperando el última transacción asociado con un dirección de billetera codificada. Al obtener la dirección C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetría del sistema, buscar comandos y transmitir los resultados de la ejecución, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.

Los comandos admitidos están diseñados para facilitar el acceso remoto completo:

• inyectarpara inyectar shellcode/DLL/EXE en el proceso de destino
• gotapara colocar un archivo en el disco y ejecutarlo
• captura de pantallapara capturar y cargar una captura de pantalla
• registro de teclaspara iniciar/detener un registrador de teclas
• desinstalarpara iniciar la eliminación de la persistencia y realizar la limpieza
• elevarpara escalar privilegios al SISTEMA a través del Apodo de elevación COM
• degradarpara realizar la transición de SISTEMA a administrador elevado

En macOS, el complemento Shell Commands ofrece un cuentagotas AppleScript ofuscado que itera sobre una lista de dominios codificada, mientras emplea Telegram como un solucionador de caída para la resolución alternativa C2. Este enfoque también ofrece mayor flexibilidad, ya que permite rotar fácilmente la infraestructura C2, lo que hace que el bloqueo basado en dominios sea insuficiente.

En el paso final, el script dropper se pone en contacto con el dominio C2 para descargar y ejecutar una carga útil de segunda etapa a través de osascript. Se desconoce la naturaleza exacta de esta carga útil, dado que los servidores C2 están actualmente fuera de línea. La intrusión finalmente no tuvo éxito, ya que el ataque fue detectado y bloqueado antes de que el adversario pudiera lograr sus objetivos en la máquina infectada.

«REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de acceso inicial creativos abusando de aplicaciones confiables y empleando ingeniería social dirigida», dijo Elastic. «Al abusar del ecosistema de complementos de la comunidad de Obsidian en lugar de explotar una vulnerabilidad del software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario».

Un incipiente troyano de acceso remoto para Android llamado mirax Se ha observado que se dirige activamente a países de habla hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.

«Mirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real», dijo la empresa italiana de prevención de fraude en línea Cleafy. dicho.

«Más allá del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP real de la víctima».

Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado «Mirax Bot» había estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. También está disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.

Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. También puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.

La incorporación de un proxy SOCKS, por otro lado, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evadir los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.

«A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo exclusivo y altamente controlado, limitado a un pequeño número de afiliados», dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. «El acceso parece tener prioridad para los actores de habla rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campaña».

Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios. publicidad activa un servicio de streaming con acceso gratuito a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.

Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:

• StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
• Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax

Un aspecto notable de la campaña es el uso de GitHub para alojar los archivos APK del dropper malicioso. Además, el panel de creación ofrece la posibilidad de elegir entre dos criptográficos, Virbox y Golden Crypt (también conocido como Golden Encryption), para una protección APK mejorada.

Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de extracción de la carga útil final es una «operación sofisticada de varias etapas» que está diseñada para eludir el análisis de seguridad y las herramientas automatizadas de sandboxing.

El malware, después de instalarse en el dispositivo, se hace pasar por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error falso que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.

También establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.

• WebSocket en el puerto 8443, para gestionar el acceso remoto y ejecutar comandos remotos.
• WebSocket en el puerto 8444, para gestionar la transmisión remota y la exfiltración de datos.
• WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.

«Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas», dijo Cleafy. «Si bien el abuso de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva fase al incorporar esta funcionalidad dentro de un troyano bancario con todas las funciones».

«Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que también amplía el alcance operativo de los atacantes, que ahora pueden aprovechar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias».

La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.

«La plataforma proporciona capacidades completas de compromiso del dispositivo: interceptación de SMS, acceso a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde los dispositivos de las víctimas», dijo la compañía. dicho. «Un panel multiusuario con control de acceso basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores».

Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.

Actores de amenazas desconocidos comprometieron la CPUID («cpuid[.]com»), un sitio web que aloja herramientas populares de monitoreo de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, durante menos de 24 horas para servir ejecutables maliciosos para el software e implementar un troyano de acceso remoto llamado STX RAT.

El incidente duró aproximadamente desde el 9 de abril a las 15:00 UTC hasta aproximadamente el 10 de abril a las 10:00 UTC, y las URL de descarga de los instaladores de CPU-Z y HWMonitor fueron reemplazadas por enlaces a sitios web maliciosos.

en un correo compartido en X, CPUID confirmó la infracción, atribuyéndola a un compromiso de una «característica secundaria (básicamente una API secundaria)» que provocó que el sitio principal mostrara aleatoriamente enlaces maliciosos. Vale la pena señalar que el ataque no afectó a sus archivos originales firmados.

De acuerdo a Kasperskylos nombres de los sitios web fraudulentos son los siguientes:

• cahayailmukreatif.web[.]identificación
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]desarrollador
• transitopalermo[.]com
• vatrobrano[.]hora

«El software troyanizado se distribuyó como archivos ZIP y como instaladores independientes para los productos antes mencionados», afirmó la empresa rusa de ciberseguridad. «Estos archivos contienen un ejecutable legítimo firmado para el producto correspondiente y una DLL maliciosa, que se denomina ‘CRYPTBASE.dll’ para aprovechar la técnica de carga lateral de DLL».

La DLL maliciosa, por su parte, se pone en contacto con un servidor externo y ejecuta cargas útiles adicionales, no sin antes realizar comprobaciones anti-sandbox para evitar la detección. El objetivo final de la campaña es desplegar RATA STXuna RAT con HVNC y amplias capacidades de robo de información.

STX RAT «expone un amplio conjunto de comandos para control remoto, ejecución de carga útil de seguimiento y acciones posteriores a la explotación (por ejemplo, ejecución en memoria de EXE/DLL/PowerShell/shellcode, proxy inverso/tunelización, interacción de escritorio)», dijo eSentire en un análisis del malware la semana pasada.

La dirección del servidor de comando y control (C2) y la configuración de conexión se han reutilizado desde un campaña anterior que aprovechó el troyanizado Instaladores de FileZilla alojados en sitios falsos para implementar el mismo malware RAT. La actividad fue documentada por Malwarebytes a principios del mes pasado.

Kaspersky dijo que ha identificado a más de 150 víctimas, en su mayoría personas afectadas por el incidente. Sin embargo, las organizaciones de comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura también se han visto afectadas. La mayoría de los contagios se localizan en Brasil, Rusia y China.

«El error más grave que cometieron los atacantes fue reutilizar la misma cadena de infección que involucra STX RAT y los mismos nombres de dominio para la comunicación C2 del ataque anterior relacionado con instaladores falsos de FileZilla», dijo Kaspersky. «Las capacidades generales de desarrollo/implementación de malware y seguridad operativa del actor de amenazas detrás de este ataque son bastante bajas, lo que, a su vez, hizo posible detectar el ataque tan pronto como comenzó».