{"id":100,"date":"2026-02-27T14:01:39","date_gmt":"2026-02-27T14:01:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/scarcruft-utiliza-zoho-workdrive-y-malware-usb-para-violar-redes-aisladas-cyberdefensa-mx\/"},"modified":"2026-02-27T14:01:39","modified_gmt":"2026-02-27T14:01:39","slug":"scarcruft-utiliza-zoho-workdrive-y-malware-usb-para-violar-redes-aisladas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/scarcruft-utiliza-zoho-workdrive-y-malware-usb-para-violar-redes-aisladas-cyberdefensa-mx\/","title":{"rendered":"ScarCruft utiliza Zoho WorkDrive y malware USB para violar redes aisladas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar m\u00e1s cargas \u00fatiles y un implante que utiliza medios extra\u00edbles para transmitir comandos y violar redes aisladas.<\/p>\n

La campa\u00f1a, cuyo nombre en clave Jersey rub\u00ed<\/strong> de Zscaler ThreatLabz, implica la implementaci\u00f3n de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la v\u00edctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.<\/p>\n

\u00abEn la campa\u00f1a Ruby Jumper, cuando una v\u00edctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse seg\u00fan el tama\u00f1o del archivo\u00bb, dijo el investigador de seguridad Seongsu Park. dicho<\/a>. \u00abLuego, el script de PowerShell iniciado por el archivo LNK crea m\u00faltiples cargas \u00fatiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento se\u00f1uelo, una carga \u00fatil ejecutable, un script de PowerShell adicional y un archivo por lotes\u00bb.<\/p>\n

Uno de los documentos se\u00f1uelo utilizados en la campa\u00f1a muestra un art\u00edculo sobre el conflicto palestino-israel\u00ed traducido de un peri\u00f3dico norcoreano al \u00e1rabe.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Las tres cargas \u00fatiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el c\u00f3digo shell que contiene la carga \u00fatil despu\u00e9s de descifrarla. La carga \u00fatil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campa\u00f1as de ataque.<\/p>\n

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso v\u00e1lido, RESTLEAF descarga el c\u00f3digo shell, que luego se ejecuta mediante inyecci\u00f3n de proceso, lo que eventualmente conduce a la implementaci\u00f3n de SNAKEDROPPER, que instala el tiempo de ejecuci\u00f3n de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.<\/p>\n

THUMBSBD, que est\u00e1 disfrazado de archivo Ruby y utiliza medios extra\u00edbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar informaci\u00f3n del sistema, descargar una carga \u00fatil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de alg\u00fan medio extra\u00edble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecuci\u00f3n.<\/p>\n

\"\"<\/a><\/div>\n

Una de las cargas \u00fatiles entregadas por THUMBSBD es FOOTWINE, una carga \u00fatil cifrada con un lanzador de c\u00f3digo shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a trav\u00e9s de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:<\/p>\n