{"id":434,"date":"2026-04-02T12:28:47","date_gmt":"2026-04-02T12:28:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/02\/investigadores-descubren-una-operacion-minera-que-utiliza-senuelos-iso-para-difundir-rat-y-criptomineros-cyberdefensa-mx\/"},"modified":"2026-04-02T12:28:47","modified_gmt":"2026-04-02T12:28:47","slug":"investigadores-descubren-una-operacion-minera-que-utiliza-senuelos-iso-para-difundir-rat-y-criptomineros-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/02\/investigadores-descubren-una-operacion-minera-que-utiliza-senuelos-iso-para-difundir-rat-y-criptomineros-cyberdefensa-mx\/","title":{"rendered":"Investigadores descubren una operaci\u00f3n minera que utiliza se\u00f1uelos ISO para difundir RAT y criptomineros \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una operaci\u00f3n con motivaci\u00f3n financiera cuyo nombre en c\u00f3digo REF1695<\/strong> Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas.<\/p>\n

\u00abM\u00e1s all\u00e1 de la criptominer\u00eda, el actor de amenazas monetiza las infecciones a trav\u00e9s del fraude CPA (costo por acci\u00f3n), dirigiendo a las v\u00edctimas a p\u00e1ginas de contenido bajo la apariencia de registro de software\u00bb, afirman los investigadores de Elastic Security Labs, Jia Yu Chan, Cyril Fran\u00e7ois y Remco Sprooten. dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n

Tambi\u00e9n se ha descubierto que iteraciones recientes de la campa\u00f1a entregan un implante .NET previamente no documentado con nombre en c\u00f3digo CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infecci\u00f3n para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones expl\u00edcitas para que el usuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecuci\u00f3n de aplicaciones no reconocidas haciendo clic en \u00abM\u00e1s informaci\u00f3n\u00bb y \u00abEjecutar de todos modos\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El cargador est\u00e1 dise\u00f1ado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para pasar desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usuario se le muestra un mensaje de error: \u00abNo se puede iniciar la aplicaci\u00f3n. Es posible que su sistema no cumpla con las especificaciones requeridas. Comun\u00edquese con el soporte\u00bb.<\/p>\n

CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas \u00fatiles adicionales, actualizarse, desinstalar y realizar acciones de limpieza para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.<\/p>\n

Otras campa\u00f1as montadas por el actor de amenazas han aprovechado se\u00f1uelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el \u00faltimo de los cuales llega a una URL codificada para extraer la configuraci\u00f3n de miner\u00eda y lanzar la carga \u00fatil del minero.<\/p>\n

Como se observ\u00f3 recientemente en la campa\u00f1a FAUX#ELEVATE, se abusa de \u00abWinRing0x64.sys\u00bb, un controlador de kernel de Windows leg\u00edtimo, firmado y vulnerable, para obtener acceso al hardware a nivel de kernel y modificar la configuraci\u00f3n de la CPU para aumentar las tasas de hash, permitiendo as\u00ed mejorar el rendimiento. El uso del conductor<\/a> ha sido observado<\/a> en muchos campa\u00f1as de criptojacking<\/a> a lo largo de los a\u00f1os. La funcionalidad era agregado a los mineros XMRig<\/a> en diciembre de 2019.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Elastic dijo que tambi\u00e9n identific\u00f3 otra campa\u00f1a que conduce al despliegue de SilentCryptoMiner. El minero, adem\u00e1s de utilizar llamadas directas al sistema para evadir la detecci\u00f3n, toma medidas para desactivar los modos de suspensi\u00f3n e hibernaci\u00f3n de Windows, configura la persistencia mediante una tarea programada y utiliza el controlador \u00abWinring0.sys\u00bb para ajustar la CPU para las operaciones de miner\u00eda.<\/p>\n

Otro componente notable del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campa\u00f1a acumul\u00f3 27,88 XMR (9.392 d\u00f3lares) en cuatro carteras rastreadas, lo que indica que la operaci\u00f3n est\u00e1 generando beneficios financieros constantes para el atacante.<\/p>\n

\u00abM\u00e1s all\u00e1 de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga \u00fatil, alojando binarios preparados en dos cuentas identificadas\u00bb, dijo Elastic. \u00abEsta t\u00e9cnica desplaza el paso de descarga y ejecuci\u00f3n de la infraestructura controlada por el operador a una plataforma confiable, lo que reduce la fricci\u00f3n en la detecci\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una operaci\u00f3n con motivaci\u00f3n financiera cuyo nombre en c\u00f3digo REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas. \u00abM\u00e1s all\u00e1 de la criptominer\u00eda, el actor de amenazas monetiza las infecciones a trav\u00e9s del fraude CPA (costo por acci\u00f3n), dirigiendo a […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1496,24,394,1495,80,1494,1493,461,36,209,1474,132,216],"class_list":["post-434","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-criptomineros","tag-cyberdefensa-mx","tag-descubren","tag-difundir","tag-investigadores","tag-iso","tag-minera","tag-operacion","tag-para","tag-rat","tag-senuelos","tag-una","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/434","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=434"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/434\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=434"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=434"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=434"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}