Investigadores de ciberseguridad han detectado una campaña de ataque multietapa que distribuye varias familias de malware, incluyendo variantes de Agent Tesla, Remcos RAT y XLoader. Este tipo de ataque, cada vez más sofisticado, representa una amenaza significativa para empresas y usuarios, ya que utiliza técnicas diseñadas específicamente para evadir la detección y garantizar la ejecución exitosa del malware.
Según Saqib Khanzada, investigador de la Unidad 42 de Palo Alto Networks, los ciberatacantes emplean mecanismos complejos de entrega para superar los mecanismos tradicionales de defensa, como los entornos sandbox y los filtros antiphishing. El análisis técnico revela una estrategia bien estructurada que utiliza capas sucesivas de ejecución, obfuscación mínima y múltiples vectores para maximizar su eficacia.
Fase inicial del ataque: ingeniería social y correo electrónico de phishing
Todo comienza con un correo electrónico malicioso, identificado por primera vez en diciembre de 2024. El mensaje se presenta como una solicitud de pedido legítima e incluye un archivo comprimido en formato 7-Zip. Dentro del archivo se encuentra un fichero JavaScript con la extensión
1 | .JSE |
, diseñado para evadir filtros y ejecutar código malicioso sin levantar sospechas inmediatas.
El correo, cuidadosamente elaborado, afirma falsamente que se ha realizado un pago, e insta al destinatario a abrir el archivo adjunto para revisar los detalles de la supuesta transacción. Al ejecutar el archivo
1 | .JSE |
, se activa una cadena de infección que descarga un script de PowerShell desde un servidor externo.
Etapas intermedias: PowerShell, codificación Base64 y payload cifrado
Una vez descargado, el script de PowerShell contiene una carga útil codificada en Base64, que es posteriormente descifrada y escrita en el directorio temporal del sistema Windows. Esta carga se ejecuta inmediatamente, actuando como un dropper o instalador de la siguiente etapa del ataque.
Este dropper puede estar compilado en .NET o AutoIt, dependiendo de la variante. En el caso de la versión .NET, el malware descifra una versión de Agent Tesla, que también podría ser una variante de Snake Keylogger o XLoader, e inyecta el código malicioso en el proceso legítimo
1 | RegAsm.exe |
. Esta técnica de inyección de procesos es común en campañas de malware sofisticadas.
Por otro lado, si el dropper está basado en AutoIt, se introduce una capa adicional de complejidad. En este caso, se utiliza un script AutoIt para descifrar y ejecutar una segunda carga cifrada, que finalmente inyecta un archivo .NET en el proceso
1 | RegSvcs.exe |
, lo que termina por instalar Agent Tesla.
Técnicas de evasión: múltiples rutas y mínima ofuscación
La estrategia detrás del ataque es clara: al apilar múltiples capas simples en lugar de usar técnicas de ofuscación complejas, los atacantes dificultan el análisis sin aumentar el riesgo de ser detectados por soluciones de seguridad tradicionales.
“Este enfoque permite a los atacantes crear cadenas de ataque resistentes, optimizadas para evadir los mecanismos de detección automatizados y manuales”, explicó Khanzada. La modularidad y redundancia en la ejecución aumentan las probabilidades de éxito en la entrega del malware, incluso si una parte del proceso es bloqueada.
IronHusky y la nueva versión de MysterySnail RAT
En paralelo, Kaspersky ha revelado una campaña maliciosa asociada al grupo de amenazas persistentes avanzadas (APT) conocido como IronHusky, vinculado a ataques dirigidos contra entidades gubernamentales en Mongolia y Rusia. Esta campaña utiliza una nueva variante del malware MysterySnail RAT, diseñada para el espionaje cibernético.
La infección se inicia con un script de Microsoft Management Console (MMC) disfrazado como un documento de Word legítimo de la Agencia Nacional de Tierras de Mongolia. Este script descarga un archivo ZIP que contiene un documento señuelo, un binario legítimo de Cisco (
1 | CiscoCollabHost.exe |
) y una DLL maliciosa (
1 | CiscoSparkLauncher.dll |
).
Al ejecutarse, el binario carga la DLL, que actúa como una puerta trasera intermedia con múltiples capacidades: ejecutar shells de comandos, transferir archivos, listar contenido de directorios y crear procesos. Esta puerta trasera finalmente carga la versión más reciente de MysterySnail RAT.
La nueva versión del malware puede ejecutar hasta 40 comandos diferentes, permitiendo a los atacantes realizar acciones como administración de archivos, control de servicios del sistema, ejecución remota de procesos y conexión a recursos de red mediante DLLs específicas.
Kaspersky también identificó una variante más ligera, denominada MysteryMonoSnail, que incluye solo 13 comandos básicos, utilizados para acciones mínimas como escribir archivos, listar directorios e iniciar procesos remotos. Esta versión parece haber sido implementada como respuesta a los intentos de mitigación por parte de las organizaciones objetivo.
Una amenaza persistente que evoluciona
Tanto el ataque multietapa que distribuye Agent Tesla, XLoader y Remcos RAT, como la campaña de IronHusky con MysterySnail RAT, ilustran la evolución constante de las amenazas cibernéticas. Las técnicas utilizadas buscan minimizar la detección y maximizar la persistencia, lo que representa un desafío creciente para los equipos de seguridad.
Para mitigar estos ataques, se recomienda implementar soluciones de seguridad con capacidad de análisis profundo de scripts, reforzar las políticas de correo electrónico y educar a los usuarios sobre tácticas comunes de phishing. Además, monitorear el comportamiento anómalo de los procesos puede ser clave para identificar infecciones activas antes de que se produzca una exfiltración de datos crítica.
Fuente: The Hacker News
