Discoveries Malware Operation 

Blue Gryphus RAT: Nuevo Troyano Bancario de Acceso Remoto

SCILabs , ,
Post Views: 104

El propósito de este blog es proporcionar información sobre un nuevo troyano de acceso remoto con capacidades de troyano bancario, descubierto por SCILabs y nombrado Blue Gryphus RAT. La actividad de este troyano fue identificada durante los primeros meses del 2026, y ha sido distribuido como malware final en una campaña del grupo de amenazas Red Akodon, dirigida principalmente a usuarios de Colombia.

De acuerdo con el monitoreo de esta amenaza, se identificó que ha mantenido una actividad constante, al menos hasta el mes de mayo, incrementando el número de muestras activas observadas. Esta campaña ha sido distribuida principalmente mediante correos de phishing que utilizan pretextos relacionados con actualizaciones de Windows o asuntos judiciales.

También, tenemos la hipótesis con un nivel alto de confianza de que esta amenaza se encuentra estrechamente relacionada con la operación del grupo de amenazas Red Akodon, donde se distribuyen otros tipos de troyano en conjunto con Blue Gryphus RAT, por ejemplo, conjunto con RemcosRAT.

Este blog está orientado a describir la funcionalidad y capacidades del troyano identificado por SCILabs.

¿Cómo podría afectar esta campaña a una organización?

Blue Gryphus RAT funciona principalmente como un troyano de acceso remoto diseñado para monitorear y controlar de forma remota los dispositivos de los usuarios afectados para el robo de información sensible. Además, sus capacidades de robo de credenciales de navegadores y de troyano bancario permiten a Blue Gryphus RAT robar información bancaria de todo tipo de usuarios, incluyendo empleados de organizaciones. Si un ataque tiene éxito dentro de una organización, los cibercriminales pueden filtrar o vender la información robada en foros clandestinos de la Dark Web o en el mercado negro, pudiendo ser utilizada posteriormente para realizar ataques más sofisticados y peligrosos como el ransomware, poniendo en riesgo la integridad, confidencialidad y disponibilidad de la información de la organización, además de ocasionar pérdidas económicas y de reputación.

ANÁLISIS

Contexto de la amenaza

Durante el monitoreo realizado por SCILabs, a partir de la campaña de Red Akodon distribuyendo Blue Gryphus RAT identificada en el mes de marzo, observamos diferentes artefactos correspondientes a droppers que distribuían este troyano bancario de acceso remoto. Estos fueron identificados en diferentes formatos que incluyen archivos de tipo JavaScript, VBS y scripts de PowerShell altamente ofuscados, utilizando técnicas como nombres de funciones y variables poco descriptivas, intercambio de caracteres y código basura, entre otros, así como el uso de archivos en texto plano que fueron cifrados con AES.

A pesar de no haber obtenido el método de entrega, tenemos un nivel medio de confianza que es mediante correos de phishing, debido a su relación con Red Akodon, utilizando como posibles pretextos supuestas notificaciones judiciales y actualizaciones de Windows, donde los nombres de los droppers encontrados contienen cadenas como “NOTIFICACION JUDICIAL DEMANDA” o “Windows Update”, entre otros. El objetivo de estos droppers es descargar y ejecutar como payload al troyano Blue Gryphus RAT.

Figura 2. Contenido de un JavaScript que funciona como dropper de Blue Gryphus RAT
Figura 1. Contenido de un JavaScript que funciona como dropper de Blue Gryphus RAT

RESUMEN TÉCNICO

Las muestras correspondientes a este troyano se encuentran desarrolladas con el Framework de .NET, usualmente cargado por los droppers antes descritos, pero mandando llamar inicialmente a la función Main() del ejecutable del troyano, la cual realiza diferentes acciones para que el malware funcione. Para facilitar su comprensión, las hemos estructurado en las siguientes 2 etapas.

Figura 2. Segmento de la función principal “Main()”

Primera etapa

Esta se centra en preparar el equipo para la infección. En primer lugar, mediante las funciones SetProcessDPIAware() y SetProcessDpiAwareness(), establece la capacidad del malware para gestionar escalas de alta densidad de píxeles DPI (esto lo hace para mantener una apariencia controlada en la interfaz durante la creación de formularios para robo de datos)

Establece un MUTEX para evitar que dos muestras de la misma campaña infecten el mismo equipo. El MUTEX utiliza un formato cuya cadena consta de “NexusRAT_”+[8 caracteres hexadecimales]+[puerto de conexión con el C2].

Es importante mencionar que, a pesar de contar con la cadena “NexusRAT” en diferentes muestras, aún no hemos identificado relación entre esta amenaza y el troyano bancario de dispositivos Android llamado de la misma forma.

Figura 3. Nombre del MUTEX en diferentes muestras

Después, establece los valores necesarios para conexión con el servidor C2, como el HOST, el puerto y un TAG (posiblemente establecido por los operadores para diferenciar los equipos infectados en su campaña). Cabe resaltar que, tanto en el caso de los TAGs, como en el nombre de archivo de varias muestras encontradas, también identificamos la cadena “AMARRE”, “Sostener”, “ENVÍO”, “nuevorat”, “misarchivos”, “Dios”, entre otras. Esto es un indicio de que la mayoría de los operadores de este troyano son de habla hispana.

Figura 4. Ejemplo del nombre del MUTEX en una de las muestras

Posteriormente, crea un directorio de nombre “WindowsUpdate” dentro de %APPDATA% o en el directorio en donde se está ejecutando la muestra y guarda una copia de sí mismo con el nombre “WindowsUpdate.exe”. Por último, genera persistencia con una de las dos siguientes formas:

  1. Mediante una tarea programada para ejecutar “WindowsUpdate.exe” con el siguiente comando, que tiene la capacidad de sobreescribir una tarea en caso de que exista otra con el nombre “WindowsUpdate” y se ejecuta cada minuto.
  2. Mediante la creación de una copia del ejecutable malicioso de nombre “WindowsUpdate.exe” en el directorio %STARTUP%.

Ejecuta una función de nombre AdminBypass() que tiene 2 objetivos:

  1. Realiza la evasión de Windows Defender, añadiendo como exclusión el directorio raíz C:\, a través de la creación de un script de PowerShell que guarda en %TEMP% con el nombre “ex_[número aleatorio de 5 cifras].ps1” y lo ejecuta con las opciones “-ExecutionPolicy Bypass”, “-WindowStyle Hidden”, “-NoProfile”, “-NonInteractive”, para después ser borrado inmediatamente.

    Figura 5. Script de PowerShell embebido en el ejecutable del troyano
  2. Realiza la evasión de UAC a través de la creación de un script de PowerShell que se guarda en %TEMP% con el nombre “uac_[número aleatorio de 5 cifras].ps1”. Este sirve para modificar el registro HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System y es borrado inmediatamente después de ser ejecutado con las mismas opciones de PowerShell que en el script anterior.
Figura 6. Script de PowerShell para desactivar UAC

Una vez que se realizan estas tareas, inicia la segunda etapa.

Segunda etapa

Esta etapa comienza con la ejecución de un ciclo permanente para ejecutar la función Connect() de forma constante, en espera de la respuesta del servidor. A continuación, se describe el funcionamiento de Connect().

1. Inicia una conexión TCP hacia el HOST y el puerto que establecieron en la primera etapa si recibe una respuesta cualquiera (que no sea nula) y confirme la conexión desde el C2. Es importante mencionar que esta conexión no se lleva a cabo mediante el protocolo HTTP ni ningún protocolo TCP conocido, sino que este troyano utiliza su propio protocolo nombrado dentro de la misma muestra como NetProtocol48, y del cual brindaremos detalles más adelante en este documento.

2. Una vez establecida la conexión, el troyano envía, mediante una función Send() del protocolo NetProtocol48, una cadena para registrar el equipo. Esta cadena contiene datos del equipo concatenados, que incluyen: la versión del sistema operativo, nombre del equipo, nombre del usuario, si el usuario actual es admin, el TAG (para distinguir la campaña) y un identificador para el equipo infectado.

Figura 7. Segmento de la función Connect()

3. Tras el envío, la conexión se mantiene en espera hasta obtener un mensaje de parte del C2, concluyendo exitosamente el registro, de lo contrario lanza un mensaje de error. Además del registro, genera una lista de los antivirus que se encuentran activos en el equipo y, en caso de que exista al menos uno, esta lista es enviada al servidor C2.

Figura 8. Segmento de función para detección de antivirus

4. Continúa el ciclo en espera de alguna ventana activa en el equipo, enviando el título de esta al servidor C2; si el título no es el esperado por los operadores, el troyano duerme su proceso durante 3 segundos.

Al final, el ciclo continúa, en espera de que el servidor C2 envíe algún mensaje hasta que la función Recv() recibe los datos enviados por los operadores a través del protocolo característico de este troyano, NetProtocol48, y ejecuta las acciones que corresponda a los diferentes comandos. A partir de este punto, el troyano funciona completamente como una herramienta de acceso remoto al equipo infectado.

NetProtocol48

Como se mencionó anteriormente, Blue Gryphus RAT utiliza su propio protocolo de comunicación TCP, con las siguientes funciones definidas:

  • Send(): envía datos utilizando como argumentos un “stream” —para definir el tamaño del mensaje—, un “type” —que es definido por los operadores—, un conjunto de bytes llamado “data” y “writeLock” —que funciona como un candado para evitar problemas si varios hilos escriben al mismo tiempo—.
Figura 9. Función Send()
  • SendText(): recibe los parámetros “stream”, “type”, ”text”, “writeLock”, utilizados en la llamada a la función Send(), solo ingresando “text” como un conjunto de Bytes.
Figura 10. Función SendText()
  • SendFast(): es similar a la función Send(), con los mismos parámetros, solo difiere en la función de copiado para maximizar la rapidez en el envío de datos.
Figura 11. Función SendFast()
  • ReadExact(): es un método que se asegura de leer el número de byte exacto que se le ingrese como argumento y, mientras no termine de leer todos los bytes, continuará hasta terminar o cuando se tenga el número de byte “0”; en ese momento cierra la conexión.
Figura 12. Función ReadExact()
  • Read(): recibe datos utilizando los argumentos “stream” —de tamaño indefinido—, un “type” —que es definido por los operadores— y un conjunto de bytes llamado “data”. Como paso inicial, lee los primeros 4 bytes del stream con la función ReadExact(), esto es para conocer el tamaño total del mensaje (que debe estar en estos bytes), a continuación, lee el resto del mensaje también con la función ReadExact().
Figura 13. Función Read()

Comandos

Los comandos recibidos por el RAT son manejados por la función Handle(), la cual no lee como comandos una cadena de texto, sino enteros, por lo que los comandos originalmente enviados por los operadores son valores en entero.

Figura 14. Segmento de la función Handle() que establece el valor de los comandos y su función

La traducción de estos valores se observa en una clase de este troyano llamada Nexus.Common, asignándole a una variable del nombre del comando, el respectivo valor en entero.

Figura 15. Segmento del programa donde se establecen valores y comandos

A continuación, mostraremos una tabla con el valor entero del comando, su nombre y la acción que realiza. En el caso de los que tienen la etiqueta “*No implementado*” es porque la función existe, pero no es recibido por la función principal, posiblemente porque estas muestras continúan en desarrollo.

Valor Comando Funcionalidad
1 HELLO Presentación para la conexión del servidor C2 con el equipo infectado
2 HELLO_OK Respuesta a la presentación para la conexión con el servidor C2
3 PING Solicitud para saber si el equipo remoto está encendido
4 PONG Respuesta de que el equipo actual está encendido
5 ABE_REQUEST Pregunta el estado del payload (ejecutable) para obtener la información de los navegadores
6 ABE_PAYLOAD Ejecuta el payload (ejecutable) para obtener la información de los navegadores
7 GET_CARDS *No implementado*
8 CARDS_DATA *No implementado*
9 GET_IBANS *No implementado*
10 IBANS_DATA *No implementado*
11 GET_TOKENS *No implementado*
12 TOKENS_DATA *No implementado*
13-15,25-29, 36 y 38 KL_[subcomando] Permite ejecutar comandos del módulo KL del troyano correspondiente con la captura de datos bancarios, por ejemplo, KL_BANK_IMAGES, que descarga las imágenes de bancos que se usarán para suplantar el sitio web oficial.
16-24 RDP_[subomando] Todos estos realizan funciones del servicio RDP en el equipo infectado, por ejemplo, RDP_START para iniciar el servicio o RDP_MOUSE para acceder al mouse del equipo infectado
30, 31, 37 y 55-63 HVNC_[subcomando] Permite ejecutar comandos del módulo HVNC del troyano, por ejemplo, HVNC_CLIPBOARD_SET que modifica el contenido del portapapeles
32-35 SHELL_[subcomando] Sirven para ejecutar el subcomando en el equipo infectado, por ejemplo, SHELL_START que inicia una línea de comandos
39-46 BTC_[subcomando] Permite ejecutar comandos del módulo BTC que realiza la manipulación de pestaña de navegador basada en Chromium, por ejemplo, para realentizar, detener o simular perdida de datos usando el Chrome DevTools Protocol (CDP)
48 GET_PROCESSES Regresa los procesos en ejecución del equipo infectado
49 PROCESS_LIST *No implementado*
50 KILL_PROCESS Elimina un proceso que se le pase como argumento
51 START_PROCESS Inicia un proceso que se le pase como argumento
52 SUSPEND_PROCESS Suspende un proceso que se le pase como argumento
53 RESUME_PROCESS Reinicia un proceso que se le pase como argumento
54 PROC_RESULT *No implementado*
64 GET_DRIVES Enlista la información de las unidades o dispositivos identificados conectados al equipo infectado
65 DRIVES_LIST *No implementado*
66 GET_FILES Enlista información de los archivos y directorios de una ruta en el sistema de archivos
67 FILE_LIST *No implementado*
68-79 FILE_[subcomando] Estos comandos realizan la manipulación de archivos en el sistema de archivos del equipo infectado, además de descargar más artefactos y moverlos a nuevas ubicaciones, por ejemplo, FILE_ADD_STARTUP que coloca un archivo que se le pase como parámetro en el directorio de inicio.
80 GET_SYSINFO Envía al servidor C2 la información del equipo infectado.
81 SYSINFO_DATA Obtiene la información general del sistema infectado que incluye hostname, IP, sistema operativo, usuario activo, número de procesadores, RAM, entre otros.
82 FP_COLLECT Obtiene la información más detallada del sistema infectado que incluye datos de la pantalla, del CPU, del GPU, de la memoria RAM, la memoria de almacenamiento libre y ocupada, zona horaria, lenguaje, entre otros.
83 FP_DATA *No implementado*
90-95 NETMON_[subcomando] Estos comandos permiten utilizar la herramienta NetworkMonitor en el equipo infectado utilizando sus funciones y manipulando el proceso creado, principalmente para evitar el monitoreo y análisis del malware.
96-98 KEYLOG_[subcomando] Estos comandos permiten utilizar el módulo de keylogger del troyano, que envía datos de forma simultánea, por ejemplo, KEYLOG_START, que inicia la captura de las teclas.
99-104 OFFKL_[subcomando] Estos comandos permiten utilizar el módulo de keylogger de modo offline del troyano, que escribe los datos en un archivo, por ejemplo, OFFKL_, que inicia la captura de las teclas.
112 GET_PASSWORDS Genera una cadena con múltiples credenciales obtenidas del equipo infectado concatenadas, entre el tipo de credenciales se encuentran credenciales almacenadas en navegadores de los diferentes perfiles de usuario, credenciales del WiFi almacenadas en el equipo, datos bancarios como tarjetas, IBANs y cuentas, tokens de acceso, entre otros.
113 PASSWORD_DATA *No implementado*
128-135 REG_[subcomando] Estos comandos permiten la manipulación de registros en el equipo infectado, por ejemplo, el comando REG_DELETE_KEY, que borra la llave de registro que se le pase como parámetro.
144-147 STARTUP_[subcomando] Estos comandos permiten manipular los artefactos que se encuentran en el directorio de inicio del equipo infectado, por ejemplo, STARTUP_LIST, que lista los artefactos de este directorio
160 GET_CONNECTIONS Envía al servidor C2 las conexiones que tiene el equipo infectado
161 CONNECTIONS_LIST *No implementado*
162-174 EF_[subcomandos] Estos comandos permiten manipular algunos dispositivos del equipo infectado, como el monitor, el mouse y algunos dispositivos de entrada, además de la barra de tareas. Un ejemplo es el comando EF_MONITOR_ON, que enciende el monitor del equipo.
176 EXEC_PS Ejecuta el comando o script de PowerShell que se le pase como parámetro.
177 EXEC_CMD Ejecuta el comando en la línea de comandos de Windows que se le pase como parámetro.
178 EXEC_RESULT *No implementado*
179 SHOW_MSGBOX Despliega una ventana de alerta en la interfaz de Windows con un mensaje que se le pase como parámetro.
180 VISIT_WEBSITE Este comando ejecuta código que se le pasa como parámetro, se desconoce más sobre su funcionalidad.
181 GET_CLIPBOARD Envía al servidor C2 el contenido del portapapeles.
182 CLIPBOARD_DATA Obtiene el contenido que se encuentra en el portapapeles.
183 ACTIVE_WINDOW Obtiene la ventana activa en el equipo infectado.
184 DO_SHUTDOWN Apaga el equipo infectado.
185 DO_RESTART *No implementado*
186 DO_STANDBY *No implementado*
187 DO_LOGOFF *No implementado*
208-211 CLIENT_[subcomando] Estos comandos permiten la manipulación de la sesión de conexión entre el equipo infectado y el servidor C2, por ejemplo, el comando CLIENT_DISCONNECT que realiza la desconexión de la sesión.
212 REMOTE_EXEC_URL Descarga y ejecuta un archivo desde una URL que se le pase como parámetro.
224 GET_SCREENSHOT Envía al servidor C2 una captura de pantalla del equipo infectado.
225 SCREENSHOT_DATA *No implementado*
245-250 WM_[subcomandos] Estos comandos permiten la manipulación de ventanas del equipo infectado, por ejemplo, el comando WM_GET_WINDOWS que envía al servidor C2 todas las ventanas activas en el equipo infectado.
226-231 RPROXY_[subcomando] Estos comandos permiten el funcionamiento del módulo RPOXY que corresponde a un reverse proxy, para permitir la conexión de otro equipo remoto.
235 BOOTKILL_CUSTOM Elimina todos los procesos que tengan en su nombre la cadena que se le pase como parámetro.
236 EXCL_RUN Ejecuta código que se le pase como parámetro, agregando el tag EXCL.
237 EXCL_RESULT *No implementado*
238 UAC_RUN Ejecuta código que se le pase como parámetro, agregando el tag UAC.
239 UAC_RESULT *No implementado*
240-244 DL_[subcomando] Estos comandos están relacionados con la descarga y ejecución de artefactos que se envíen desde el servidor C2.
251 AV_INFO Obtiene las herramientas de seguridad o antivirus instalados en el equipo infectado.
252 VBS_EXEC Permite ejecutar un script VBS en el equipo infectado.
253 GET_COOKIES Envía la información obtenida de las cookies del equipo infectado.
254 COOKIES_DATA Obtiene las cookies de todos los navegadores del equipo.

Tabla 1. Comandos para el funcionamiento de Blue Gryphus RAT

Capacidades de troyano bancario

El troyano tiene un módulo que, durante el constante monitoreo del equipo infectado, uno de sus objetivos es el de monitorear los títulos de las ventanas iniciadas por los usuarios, donde busca identificar alguna cadena relacionada con bancos, principalmente de sus sitios web o el nombre de estos, y se la envía al operador.  El operador también inicia enviando el comando KL_BANK_IMAGES (13) cuya funcionalidad es descargar, y almacenar en una carpeta de nombre “nxkl_[caracteres aleatorios]” creada en %TEMP%, un archivo ZIP que contiene imágenes relacionadas con bancos y serán usadas más adelante.

En este punto, si el operador identifica que una de estas ventanas tiene un título de alguno de sus bancos objetivos (desconocido durante el análisis), inicia las siguientes tareas, sin un orden en particular:

  • El operador puede enviar el comando KL_START_WAIT (14), con el cual, muestra una pantalla falsa de “Cargando, espere…” usando una imagen específica asociada a un banco que toma desde la carpeta generada en el paso anterior. Además, bloquea la interacción del usuario y oculta el cursor. Esta opción se puede activar constantemente durante la interacción del usuario con el sitio bancario.
  • El operador puede enviar el comando KL_SEND_CROP (25), muestra un overlay fullscreen falso simulando ser parte del sitio bancario con aperturas en zonas específicas de la pantalla para permitir que la víctima interactúe con campos reales o simulados, por ejemplo, donde ingresar sus datos, una contraseña y el monto de la transferencia.
  • El operador puede enviar el comando que es la contraparte de los anteriores, encargado de eliminar las aperturas de captura de datos, restaurar una pantalla de “Espera”, bloquear la interacción de entrada del usuario y ocultar su cursor.

Al finalizar la captura de datos bancarios, a demanda de los operadores, estos son enviados al servidor C2 con toda la información que el usuario haya ingresado anteriormente (credenciales, cuentas, movimientos y más datos bancarios). Después de enviar esta captura, quita cualquier pantalla overlay de distracción que haya quedado activa y desbloquea las entradas de input.

Figura 16. Segmento de una función del módulo de troyano bancario

Es importante mencionar que la funcionalidad del módulo bancario solo pudo ser observada mediante análisis estático, debido a que requiere la interacción de los operadores para su ejecución. Por lo anterior, al momento desconocemos los bancos objetivos y el tipo de imágenes de bancos que son desplegadas.

Resumen del flujo de ataque

  • Se tiene como hipótesis, con alto nivel de confianza, que el método de distribución sea a través de correos electrónicos phishing que utilizan como pretexto una supuesta notificación judicial, o actualización de Windows.
  • El correo contiene un archivo comprimido que contiene un dropper de tipo JavaScript o VBS y scripts de PowerShell.
  • Si el usuario descomprime el archivo descargado y ejecuta el artefacto que funciona como dropper, inicia la cadena de infección que resulta en la descarga e instalación de Blue Gryphus RAT.
  • Una vez que es ejecutado, Blue Gryphus RAT inicia a partir de su función Main() con 2 etapas:
    • La primera etapa se centra en preparar el equipo para la infección, adaptando sus parámetros gráficos al del equipo infectado, configurando el servidor de comando y control (C2), generando un MUTEX y directorios de infección, además de la persistencia, evasión de Windows Defender y la evasión de seguridad del UAC.
    • La segunda etapa inicia con un ciclo permanente que mantiene en ejecución el proceso del troyano con las conexiones abiertas para que los operadores accedan de forma remota al equipo infectado y así realicen acciones maliciosas y robo de datos.

DIAGRAMA DE FLUJO DE ATAQUE

Figura 17. Diagrama general del flujo de ataque de esta campaña

TTPs OBSERVADOS ALINEADOS AL MARCO MITRE ATT&CK®

Tabla 2. TTPs observados alineados al marco MITRE ATT&CK®

CONCLUSIÓN

Los troyanos bancarios continúan siendo una de las principales amenazas en Latinoamérica, afectando a usuarios de diferentes entidades financieras. Esto aunado con el robo de datos de navegador, robo de credenciales y el acceso remoto a los equipos infectados, vuelve a Blue Gryphus RAT una amenaza más sofisticada que no debe ser considerada únicamente como un stealer o un troyano bancario convencional, sino como una herramienta modular con funcionalidades de post-explotación que amplían considerablemente el alcance del compromiso de usuarios y organizaciones.

Una de sus características principales es la obtención de credenciales, datos financieros e información sensible almacenada en navegadores basados en Chromium, utilizando mecanismos especializados capaces de extraer información protegida mediante los sistemas de cifrado del propio navegador; la implementación de un protocolo de comunicación personalizado (NetProtocol48) para el intercambio de información con el servidor C2 y, adicionalmente, el uso de técnicas de superposición de ventanas sobre las aplicaciones o sitios web legítimos.

Es importante resaltar que, a pesar de que se han descubierto campañas de Colombia y se han identificado múltiples muestras de este troyano, con palabras en español, tanto en su contenido como en su infraestructura, no se descarta la posibilidad que su operación sea más extensa, puesto que, debido a la telemetría de las bases de datos de malware consultadas en esta investigación, hay varias muestras siendo cargadas desde países como Estados Unidos y Alemania.

Por último, es preciso mencionar que las versiones encontradas, tienen algunas partes de código que no ha sido implementado completamente o que da la impresión que este troyano pude seguir aún en desarrollo, por lo que SCILabs considera fundamental mantener un constante monitoreo de Blue Gryphus RAT y su evolución, además de recomendar a las organizaciones mantenerse actualizados con la última información, los TTPs, cambios en el flujo de ataque y nuevas versiones con el fin de fortalecer sus capacidades de detección y respuesta.

Con base en la investigación, SCILabs hace las siguientes recomendaciones:

  • Bloquear los IoCs mencionados en este documento.
  • Realizar campañas de concientización sobre las técnicas usadas por este actor de amenazas para distribuir sus campañas.
  • Para el caso de los correos electrónicos de phishing, se recomienda:
  • Evitar abrir correos de remitentes desconocidos.
  • Evitar abrir enlaces sospechosos.
  • Evitar abrir o descargar archivos sospechosos.
  • Mantener actualizados los sistemas operativos y el software de todos los dispositivos de su red.
  • Realizar una correcta implementación de políticas para la creación y uso de contraseñas.
  • Evitar el almacenamiento de credenciales y otros datos en los navegadores, pudiendo sustituirlo con algún gestor de contraseñas.
  • Evitar almacenar información de tarjetas bancarias o métodos de pago en navegadores.
  • Habilitar autenticación multifactor (MFA) en servicios críticos, especialmente correo electrónico, banca electrónica, VPN y plataformas corporativas.
  • Investigar a través de servicios de inteligencia fugas de información, credenciales y datos relacionados con su organización.
  • Tener una correcta implementación de In-Depth Security en todos los sistemas de la organización.
  • Realizar tareas de caza de amenazas en busca de accesos directos sospechosos, principalmente en el directorio del menú de inicio de Windows, generalmente ubicado en la ruta C:\Users\[Usuario]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • Realizar tareas de caza de amenazas en el registro de Windows, buscando aplicaciones que se ejecuten cuando el sistema operativo inicie, en la ruta Equipo\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Realizar tareas de caza de amenazas en las tareas programadas de Windows, principalmente buscando tareas con nombres sospechosos como “WindowsUpdate”.
  • Realizar tareas de caza de amenazas en busca de archivos sospechosos con nombres que contengan las cadenas “WindowsUpdate”, “NOTIFICACION JUDICIAL”, “nxkl_”, “uac_”, “ex_”, “AMARRE”, “Sostener”, “ENVÍO”, “nuevorat”, “misarchivos”, “Dios”, entre otras
  • Auditar y monitorear el historial de ejecución de comandos de Powershell con “Add-MpPreference”, “Set-MpPreference”, “Remove-MpPreference” y las opciones “-ExclusionPath”,
    “-ExclusionProcess”, “-ExclusionExtension”, principalmente relacionados con Windows Defender.
  • Realizar tareas de caza de amenazas en busca de posibles infecciones de otro tipo de malware como infostealers, troyanos bancarios, RATs, entre otros.
  • Realizar tareas de caza de amenazas en busca de artefactos sospechosos, principalmente en las rutas:
    • %LOCALAPPDATA%
    • %APPDATA%
    • %PROGRAMDATA%
    • %TEMP%
  • Prestar atención a retrasos en la navegación y fallas con el funcionamiento de dispositivos de entrada (mouse, teclado, pantalla, etc.), pues pueden ser un indicio de infección y que los operadores están accediendo al dispositivo.
  • Prestar atención a alertas sospechosas, pantallas de actualización o espera en sitios de acceso con credenciales, y ventanas emergentes, pues pueden ser un indicio de infección y el robo de datos.
  • Si no son indispensables para la operación de la organización, bloquear los servicios gratuitos de DNS como no-ip, chickenkiller[.]com, linkpc[.]net, duckdns[.]org, ddns[.]net y evaluar el impacto de hacerlo, ya que estos servicios son comúnmente utilizados por muestras de este troyano y en algunas campañas de Red Akodon como servidores de comando y control.

Indicadores de Compromiso

Hashes SHA256

B6A29EE040D6DCBB9168C19299B4B1578A58DDA1E2CB329F24B65DD7A94E027D

7BC08C502BF4EBB8C4DE8549D104453AE05611D0B718A8F10943A6D437366D56

1D22B11BCB30BBCE65381B37FCF5F6981461E322AAF7564C988A638C0F245345

BB376EC395F0FE93F9584C4AC64FF61EE2A9445BEF388DB33443DCFCED51C427

3235CEF4287DC15B2594C0EED9A8B365CDA84B95B7B9F47D2088051201946781

3B2ED138AF180F0DB7DF13F87B2C11B518E03443C5775A0ACD8CB136DB53B783

F831B4A858DB6BDF617DF94B19B7C220D22C163AF205C54F7573B22DC50DC419

8C62E07127517702418EC089AC499E0A5E40A8DF12353BBE6B3CD43B2C6AEE49

5C4EB0008AC44373BC3C2B7815C162F6DAAF9A5A0664CA748B3D32A79DB83976

E03214F834920E19DA0FE878F4407ACB24B4BA920FC968289CE4307C9E8C43AE

0506B8A5AE38D6C81E5E31D7F6AD53F2F7DE3DE2C4FE2646650DD21E15623040

00A3C25D970817FD42BE16B64D5970B64CE8C6B0784288823C2C080743D7F616

D7CD9E7D257CA4180C1D33F3BCBF4D3DF4388E6AFE1618F09388641EC2F8ED9E

0470B87CC37D1013FC30244FB6476192B804F93DB95D8F3A3ECE5BC1961A2475

5BBEC5815AFF6B60E910363FE8A71F0DF9349BF9EB506B3722D0B87396CA467D

0506B8A5AE38D6C81E5E31D7F6AD53F2F7DE3DE2C4FE2646650DD21E15623040

8A45012566572F9CB7E9FD7F0C60B246D057222F5ADA1E5E194C3E5A01CA1045

C2

respaldonw8152[.]com

amarre2026[.]com