Discoveries Malware 

Blue Margay

SCILabs
Post Views: 38

VISIÓN GENERAL

El objetivo de esta publicación es describir los TTP de un grupo de amenazas nombrado por SCILabs como Blue Margay, que dirige sus ataques a usuarios y organizaciones principalmente procedentes de Brasil, con la finalidad de realizar fraude bancario, con capacidad para robar credenciales bancarias y en algunas variantes, también detectar o atacar plataformas de criptomonedas y pagos. A través de un arsenal técnico avanzado que integra a los troyanos bancarios Silver Oryx Blade, Coyote y Maverick, el grupo ha demostrado capacidades críticas para el monitoreo dinámico de transacciones y la interceptación de plataformas de criptomonedas.

La atribución de diferentes variantes de malware a este grupo de amenazas se fundamenta en la observación de múltiples coincidencias técnicas entre sus artefactos, destacando el uso recurrente de la biblioteca WatsonTCP para la comunicación con el servidor de comando y control (C2), el empleo de Fody Costura para incrustar recursos dentro de binarios desarrollados con .NET y rutinas idénticas de cifrado y ofuscación basadas en AES y Base64. Además de emplear estas herramientas de desarrollo, las amenazas presentan una infraestructura vinculada mediante el uso de certificados X509 locales para proteger sus túneles SSL y mantener una victimología idéntica, diseñada exclusivamente para atacar a usuarios finales en Brasil mediante validaciones de entorno y geofencing.

El vector de acceso inicial de este adversario es principalmente a través de campañas de phishing, para la distribución de malware, suplantando a una autoridad fiscal como el Ministério da Fazenda de Brasil (Ministerio de Hacienda / Finanzas de Brasil). También, se observaron correos de phishing que pretenden provenir de áreas internas como finanzas y RRHH, con pretextos de un supuesto bono salarial o cambios repentinos en solicitudes de vacaciones.

Otro vector de acceso es a través de mensajes de WhatsApp Web, provenientes de contactos previamente comprometidos, con un archivo tipo ZIP que contiene un fichero LNK malicioso utilizado como dropper.

Con base en la investigación, SCILabs observó que Blue Margay dirige sus campañas a Brasil desde al menos febrero de 2024 mediante el uso del troyano bancario Coyote, sin embargo, derivado de los elementos de prueba obtenidos (descritos a continuación en este reporte),  SCILabs determinó con  un alto nivel de confianza que el grupo se encuentra operando otras amenazas de este tipo, tales como Silver Oryx Blade y Maverick con desarrollo asistido con inteligencia artificial de acuerdo con algunas fuentes abiertas.

Región de operación

Como resultado del proceso de inteligencia en fuentes abiertas, y el análisis de distintos artefactos maliciosos, SCILabs determinó con un alto nivel de confianza que el país principal objetivo de operación de este grupo de amenazas es Brasil, marcado en color rojo, mientras que en color amarillo los países potenciales para este actor de amenazas.

Figura 1. Región de operación determinada por SCILabs

Actividad relevante de Blue Margay

La siguiente imagen muestra la línea del tiempo de algunos ataques de Blue Margay de acuerdo con los eventos identificados por SCILabs desde agosto del 2024, debido a su impacto mediático o magnitud.

Figura 2. Línea de tiempo de campañas de Blue Margay

A continuación, son descritos los ataques observados en la línea del tiempo de Blue Margay:

  • Febrero de 2024: En fuentes abiertas fue documentada una campaña del troyano bancario Coyote, dirigida a Brasil a usuarios de más de 60 instituciones bancarias, con características como el uso del instalador Squirrel, la aplicación NodeJS, y payload final tipo .NET, así como el uso de cifrado AES.

 

  • Febrero de 2024: SCILabs identificó una campaña del troyano bancario Coyote, dirigida a Brasil, este se distribuye a través de archivos ZIP disfrazados de documentos PDF. Estos archivos contienen un dropper ejecutable compilado en C/C++ de aproximadamente 101 MB. Este dropper utiliza Squirrel para instalar un paquete NuGet malicioso llamado Kachalov-1.3.6-full.nupkg y despliega un cargador escrito en Nim, el cual desempaqueta y ejecuta una etapa .NET en memoria. Coyote emplea técnicas de ofuscación como AES y tablas Base64, y utiliza DLL Side-Loading sobre un ejecutable legítimo de Google Chrome para ejecutar su fase final.

 

  • Agosto de 2024: SCILabs identificó una campaña de un troyano bancario que denominó Silver Oryx Blade, dirigida a Brasil, detectado inicialmente en un MSI malicioso comprimido en ZIP. Emplea la técnica de DLL Side-Loading para inyectar un payload cifrado con AES en la memoria. El troyano establece persistencia mediante un acceso directo en la carpeta de inicio y se comunica con sus servidores C2 usando WatsonTCP. Se ha identificado que Silver Oryx Blade monitorea las ventanas de casi 50 entidades bancarias brasileñas e incluye herramientas como Json.NET y Fody Costura en su cadena de artefactos .NET/C++.

 

  • Mayo de 2025: En fuentes abiertas se publicó una investigación de una nueva variante del troyano bancario Coyote. El cual se propaga por medio del software de mensajería instantánea WhatsApp Web, con un archivo adjunto tipo ZIP que contiene un fichero embebido tipo LNK, descarga de payloads remotos, y una extensión maliciosa para Chrome que permitía propagación tipo worm reenviando el ZIP a contactos en WhatsApp de la víctima.

 

  • Julio de 2025: En fuentes abiertas se documentó una variante del troyano bancario Coyote que se convirtió en el primer caso confirmado en uso malicioso de Microsoft UI Automation (UIA). Esta variante de Coyote apuntaba a usuarios en Brasil y usaba UIA para extraer credenciales vinculadas a 75 direcciones de banca y de criptomonedas, mostrando una evolución importante respecto a las variantes iniciales.

 

  • Octubre de 2025: En fuentes abiertas se documentó una campaña masiva en Brasil de un nuevo troyano bancario llamado Maverick, distribuido por WhatsApp mediante ZIP con un archivo LNK malicioso. La investigación destacó que la amenaza tenía coincidencias de código con Coyote, que monitoreaba 26 bancos brasileños, 6 servicios de criptomonedas y 1 plataforma de pagos, sin especificar el nombre de las organizaciones.

¿A quién puede afectar?

Por medio del monitoreo constante en la región, SCILabs identificó que el principal objetivo de Blue Margay son usuarios finales de instituciones financieras de Brasil, siendo distribuido por medio de correos de phishing con diferentes pretextos como supuestos bonos salariales, transferencias PIX y comunicados fiscales, suplantando a gerencias financieras, de recursos humanos y al Ministerio de Hacienda de Brasil.

¿Cómo puede afectar a una organización?

Los troyanos bancarios operados por el grupo de amenazas Blue Margay podría robar información de instituciones financieras, plataformas de criptomonedas de usuarios, incluyendo empleados de organizaciones. Si un ataque tiene éxito dentro de una organización, los ciberdelincuentes pueden filtrar o vender la información robada en foros clandestinos de la DarkWeb o en el mercado negro, poniendo en riesgo la confidencialidad, integridad y disponibilidad de su información y ocasionando pérdida de reputación.

Modelo de operación del grupo de amenazas

Su modelo de operación apunta a un esquema de fraude bancario, centrado en usuarios finales principalmente de Brasil. El acceso inicial se basa en phishing por correo electrónico, usando pretextos urgentes y de alta credibilidad, con carácter de facturas pendientes, entregas, avisos fiscales, bonos salariales, transferencias PIX y mensajes enviados por WhatsApp Web con archivos comprimidos. El grupo explota tanto la confianza institucional (suplantación de áreas financieras o ministerios) como la confianza interpersonal (mensajes reenviados desde cuentas comprometidas).

Figura 3. Ejemplo de plantilla de phishing de troyanos bancarios Silver Oryx Blade y Coyote

El malware operado por este grupo de amenazas permanece a la espera que la víctima abra una aplicación o sitio bancario, y luego activa diferentes capacidades, por ejemplo, enumeración de sitios bancarios, ventanas falsas de autenticación (login) o MFA, overlays de phishing, keyloggers, capturas de pantalla, bloqueo de pantalla, además, en variantes más recientes, usan Microsoft UI Automation para inspeccionar elementos del navegador y detectar portales de banca o criptomonedas. Este patrón indica un interés en capturar credenciales válidas, datos de autenticación y contexto transaccional en tiempo real, en lugar de solo exfiltrar archivos. La amplitud de objetivos también refuerza ese modelo:

Instituciones financieras
Binance Banco de Brasília Mercado Bitcoin
Banco do Brasil Banco Regional de Desenvolvimento do Extremo Sul Mercado Pago
Bradesco BTG Pactual Banco Mercantil do Brasil
Banco da Amazônia Caixa Econômica Federal Banco Santander Brasil
Banco Bmg Citibank Banco Rendimento
Banco BS2 Confesol Banco Safra
Banco Fibra Viacredi (Ailos) Sicoob
Banco PAN Cora Sociedade de Crédito Banco Sofisa
Banco Topázio Credisan Stone
Banco Banese Credisis Tribanco
Banco do Estado do Espírito Santo (Banestes) Banco Daycoval Unicred
Banpará Banco Original Uniprime
Banrisul Foxbit Sisprime de Brasil
BitcoinTrade Banco do Pará Banestes
Blockchain Sicredi Zeitbank
Banco do Nordeste do Brasil Itaú Unibanco

Tabla 1. Instituciones financieras objetivo de los troyanos bancarios operados por Blue Margay

Los ataques de Blue Margay tienen principalmente las siguientes características observadas en algunos de sus variantes de troyanos bancarios como Maverick y Coyote:

 

  • Uso de phishing y, en variantes más recientes, propagación por mensajería instantánea desde la cuenta de la víctima infectada; adicionalmente usan enlaces embebidos o archivos comprimidos (ZIP) que entregan artefactos como MSI, EXE o LNK. En varios casos, los enlaces redirigen a infraestructura en la nube o servicios de redirección antes de descargar el ZIP.

 

  • Combinan tecnologías como Electron/Node.js, PowerShell, .NET, Nim y shellcode, con ejecución de múltiples fases para dificultar el análisis y la detección.

 

  • Uso de instaladores o empaquetadores para ocultar la etapa inicial, incluyendo Squirrel/NSI y MSI.

 

  • Uso de DLL Side-Loading / DLL hijacking apoyándose en binarios legítimos para cargar componentes maliciosos.

 

  • Capacidades de captura de información local, como keylogging, screenshots y robo de datos del portapapeles, para complementar el fraude bancario y obtener contexto de autenticación.

 

  • Uso de Microsoft UI Automation (UIA) para inspeccionar elementos de la interfaz del navegador (pestañas, barra de direcciones) e identificar portales bancarios o de cripto aun cuando el título de la ventana no coincida directamente.

 

  • Instalación de extensiones maliciosas de navegador en campañas específicas, que despliegan una extensión para Google Chrome y Brave, cargada desde %AppData% y forzada mediante perfiles personalizados para propagarse por WhatsApp Web.

 

  • Comunicación con C2 mediante sockets y librerías .NET especializadas, incluyendo el uso de WatsonTCP.

 

  • Uso de cifrado y ofuscación, especialmente AES, Base64 y JavaScript ofuscado, tanto para cadenas como para payloads intermedios o finales.

 

  • Aplicación de controles anti-análisis y validaciones del entorno, como verificación de máquinas virtuales, geofencing o validación de idioma/región para priorizar víctimas en Brasil.

 

Análisis de los troyanos bancarios operados por Blue Margay

A continuación, se describen las campañas de los troyanos bancarios operados por Blue Margay, identificados por SCILabs, por medio de procesos de inteligencia en fuentes abiertas, y el análisis de distintos artefactos maliciosos.

 

Silver Oryx Blade

En agosto del 2024, SCILabs identificó por medio del monitoreo y caza de amenazas en LATAM un nuevo troyano bancario al que denominó Silver Oryx Blade. Dentro de sus principales características identificadas se encuentra el compromiso de servidores del videojuego Minecraft como repositorio de malware y la combinación de diferentes lenguajes de programación durante la cadena de infección.

Silver Oryx Blade es distribuido utilizando campañas de phishing suplantando a organizaciones brasileñas como PIX del Banco Central de Brasil, al Ministerio de Hacienda de Brasil y gerencias de finanzas de organizaciones brasileñas.

Figura 4. Ejemplo de plantilla de phishing con el pretexto de una supuesta transferencia PIX

Derivado de que, de acuerdo con SCILabs, Blue Margay utiliza artefactos desarrollados por ellos mismos en lenguajes C#, C++ y NIM, así como bibliotecas como Fody Costura, WatsonTCP, JsonNET y con base en la victimología, se puede atribuir que Silver Oryx Blade es operado por este grupo de amenazas.

El resumen del flujo del ataque observado en este troyano bancario es el siguiente.

  • La víctima recibe un correo de phishing que utiliza como pretextos supuestos bonos salariales, transferencias PIX y comunicados fiscales, suplantando a gerencias financieras, de recursos humanos y al Ministerio de Hacienda de Brasil.

 

  • El correo contiene una URL que redirige a la víctima a un sitio que descarga automáticamente un archivo ZIP, el cual contiene el primer dropper del troyano en formato MSI.

 

  • Al ejecutar el archivo MSI, se inicia la cadena de infección.

 

  • El MSI, que incluye una DLL embebida desarrollada en .NET y una payload codificada en base64, extrae los artefactos necesarios para la instalación del troyano.

 

  • El troyano crea un directorio en %PUBLIC% con un nombre pseudoaleatorio en formato CamelCase, basado en un GUID (ej. “Bebfeeebfaea” o “Cewhcqvcwqqzjrvlzca”). En este directorio, despliega un ejecutable vulnerable a DLL Side-Loading, que carga el troyano en memoria, junto con un loader desarrollado en C++, una payload cifrada con AES, y DLLs legítimas de Microsoft utilizadas durante la ejecución.

 

  • Para mantener persistencia, el troyano crea un acceso directo en %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.

 

  • El troyano se comunica con uno de sus servidores de comando y control (C2) configurados, si alguno está disponible.

 

  • Una vez la víctima accede a sitios de interés del malware, el troyano inicia el robo de información bancaria, como usuario y contraseña, las cuales son enviadas al servidor C2 del atacante.

 

Después de recuperar y analizar el troyano Silver Oryx Blade en su penúltima fase, SCILabs identificó el uso de la biblioteca WatsonTCP de.NET. con un certificado X509 protegido con la contraseña “f134f2a14df14c449b36ed67d6d73ff8” para comunicarse con su servidor de C2, con las siguientes opciones:

 

  • MutuallyAuthenticate = true: Configura la autenticación mutua o también llamada autenticación bidireccional para la comunicación SSL. Por defecto, en una conexión SSL/TLS estándar (como al navegar por internet), solo el cliente verifica que el servidor sea quien dice ser. Con la configuración MutuallyAuthenticate = true, la conexión requiere que el servidor verifique al cliente y que el cliente verifique al servidor. Para que esto funcione, el cliente debe presentar un certificado digital válido durante el proceso de negociación SSL (SSL handshake), y el servidor debe estar configurado para aceptarlo. Con esta funcionalidad los atacantes aseguran que el servidor de C2 solo acepte conexiones de equipos comprometidos que poseen un certificado específico, que en este caso estaría auto firmado.

 

  • AcceptInvalidCertificates = true: Permite que la conexión SSL/TLS continúe, aunque el certificado presentado no pueda ser validado por una autoridad de certificación (CA) de confianza. En este caso al incluir un certificado auto firmado.

Figura 5. Información del certificado cifrado recuperado por SCILabs utilizado de Silver Oryx Blade

Figura 6. WatsonTcp con opciones habilitadas de autenticación mutua y aceptar un certificado no válido en Silver Oryx Blade

El siguiente listado contiene los bancos e instituciones financieras de interés para Silver Oryx Blade identificados por SCILabs durante el análisis, donde se identificaron alrededor de 50 entidades, incluidas fintechs como Mercado Pago y Binance.

Instituciones financieras
BTG Pactual Banco da Amazônia Credisan
Banco BS2 Banco de Brasília Credisis
Banco Banese Banco do Brasil Foxbit
Banco Bmg Banco do Estado do Espírito Santo (Banestes) Itaú Unibanco
Banco Daycoval Banco do Nordeste do Brasil Mercado Bitcoin
Banco Fibra Banpará Mercado Pago
Banco Mercantil do Brasil Banrisul Sicredi
Banco Original Binance Sisprime de Brasil
Banco PAN BitcoinTrade Stone
Banco Regional de Desenvolvimento do Extremo Sul Blockchain Tribanco
Banco Rendimento Bradesco Unicred
Banco Safra Caixa Econômica Federal Viacredi (Ailos)
Banco Santander Brasil Citibank Zeitbank
Banco Sofisa Confesol
Banco Topázio Cora Sociedade de Crédito

Tabla 2. Instituciones bancarias de interés para Silver Oryx Blade

Durante el análisis, se identificó el uso del Framework Json.NET de Newtonsoft para la manipulación de los datos transmitidos al C2. Esto es posible gracias a que los operadores de este troyano emplean Fody Costura, cuya función es embeber (empaquetar) dependencias dentro del mismo ejecutable/assembly principal como recursos y, en tiempo de ejecución, cargar esos archivos DLL embebidos dentro de los recursos del ejecutable cuando el Common Language Runtime (CLR) las solicite. Este add-in de Fody Costura facilita la distribución de software al crear una aplicación de un solo archivo, evitando la necesidad de enviar múltiples archivos DLL junto con el ejecutable.

Figura 7. Fody Costura identificada en la variante Silver Oryx Blade

Figura 8. Diagrama del flujo del ataque observado en la campaña de agosto 2024 de Silver Oryx Blade

 

TTPs observados alineados al marco MITRE® ATT&CK

Tabla 3. TTPs observados alineados al marco MITRE® ATT&CK

Coyote

Coyote es un troyano bancario orientado principalmente a usuarios en Brasil, diseñado para facilitar fraude financiero mediante el robo de credenciales y la manipulación de sesiones bancarias en tiempo real. Investigaciones públicas lo describen como una amenaza de múltiples etapas en su proceso de infección, que incluye el uso de instaladores tipo Squirrel, componentes NodeJS/Electron y payloads .NET, y que permanece en espera hasta detectar el acceso a instituciones objetivo, momento en el cual activa capacidades como superposición de ventanas (overlays) de phishing, captura de pantalla y keylogging para obtener datos sensibles. Además, variantes posteriores han incorporado técnicas más avanzadas, como el abuso de Windows UI Automation, lo que refuerza su relevancia como un troyano bancario en constante evolución en el ecosistema brasileño.

Los ataques de Coyote tienen principalmente las siguientes características:

  • ZIP como dropper/LNK como dropper (utilizando un oneliner-script de Powershell) que genera un proceso aleatorio de 5 caracteres para descarga de archivos.

 

  • ZIP con nombre de PDF/LNK con nombre de PDF.

 

  • Instalador .exe que aparenta ser un fichero tipo PDF.

 

  • Instalador Compilado en C++.

 

  • Instalador de tamaño superior a 100MB.

 

  • Pantalla de instalación de software al ejecutarse.

 

  • Instalación de Squirrel.

 

  • Artefactos en la ruta de Windows %LocalAppData%.

 

  • Paquete de NuGet (Loader).

 

  • Cifrado AES para ofuscar código.

 

  • El código decodificado está en Base64.

 

  • DLL Side-Loading (usando ejecutable legítimo de Chrome).

 

  • Uso de la ruta C:\Users\<nombre de usuario>\Documents\Imagens

 

  • Persistencia en llaves de registro HKCU\Environment\UserInitMprLogonScript (ejecución de script al iniciar sesión) y HCKU\Software\Microsoft\Windows\CurrentVersion\Run

 

  • Monitorea el navegador Google Chrome en busca de sitios bancarios para robo de información financiera.

 

 

  • Fileless (malware sin archivos) y con múltiples etapas en el proceso de infección.

 

En febrero de 2025, SCILabs observó que la carga útil inyectada en memoria tiene los siguientes objetivos:

  • Mediante Donut descifra, descarga y ejecuta la carga útil final del troyano bancario Coyote.

 

  • Genera persistencia mediante una llave de registro de nombre similar a uvnyjjfz, con caracteres y longitud aleatoria en la ruta HCKU\Software\Microsoft\Windows\CurrentVersion\Run.

 

  • Recopila y envía información del equipo infectado (hostname, sistema operativo, antivirus instalado, etc.) al C2 de los operadores de la campaña.

 

  • Ejecuta el comando PowerShell que se almacenó en el registro para generar persistencia, con el objetivo de descargar y ejecutar el payload final del troyano bancario Coyote.

 

Finalmente, el troyano bancario Coyote comienza el monitoreo de ventanas de navegador activas en búsqueda de más de 1000 sitios de interés junto con sitios bancarios y de interés brasileños entre los que se encuentran los que se muestran en la siguiente tabla.

Instituciones financieras
BTG Pactual Banco da Amazônia Cora Sociedade de Crédito
Banco BS2 Banco de Brasília Credisan
Banco Banese Banco do Brasil Credisis
Banco Bmg Banco do Estado do Espírito Santo (Banestes) Foxbit
Banco Daycoval Banco do Nordeste do Brasil Itaú Unibanco
Banco Fibra Banco do Pará Mercado Bitcoin
Banco Mercantil do Brasil Banestes Mercado Pago
Banco Original Banrisul Sicredi
Banco PAN Binance Sisprime de Brasil
Banco Regional de Desenvolvimento do Extremo Sul BitcoinTrade Stone
Banco Rendimento Blockchain Tribanco
Banco Safra Bradesco Unicred
Banco Santander Brasil Caixa Econômica Federal Uniprime
Banco Sofisa Citibank Viacredi (Ailos)
Banco Topázio Confesol Zeitbank

Tabla 4. Instituciones financieras de interés para Coyote

Una vez que el troyano identifica un sitio de interés, comienza la comunicación con el servidor de comando y control, en espera de recibir comandos que se encuentran codificados según la longitud de la cadena recibida.

Durante la elaboración de este reporte, SCILabs analizó una del troyano bancario Coyote, identificando la implementación de la biblioteca WatsonTCP con túneles SSL que importa un certificado X509, protegido con la contraseña “b4b54f7ea7c14e28bf1ceb93e1b05cb1”.

Adicionalmente para comunicarse con su servidor de C2, configura las siguientes opciones:

  • MutuallyAuthenticate = true: configura la autenticación mutua o también llamada autenticación bidireccional. La conexión requiere que el servidor verifique al cliente y que el cliente verifique al servidor. El cliente debe presentar un certificado digital válido durante el proceso de negociación SSL (SSL handshake), y el servidor debe estar configurado para aceptarlo. Con esta funcionalidad los atacantes aseguran que el servidor de C2 solo acepte conexiones de equipos comprometidos que poseen un certificado específico, que en este caso estaría auto firmado.

 

  • AcceptInvalidCertificates = true: en WatsonTcp permite que la conexión SSL/TLS continúe, aunque el certificado presentado no pueda ser validado por una autoridad de certificación (CA) de confianza.

Figura 9. WatsonTcp con opciones habilitadas de autenticación mutua y aceptar un certificado no válido en Coyote

Figura 10. Certificado importado tipo PFX desde los recursos del ejecutable protegido con contraseña de Coyote

Figura 11. Información del certificado cifrado recuperado por SCILabs utilizado por Coyote

Figura 12. Valores de AcceptInvalidCertficates y MutuallyAuthenticate asignados a valores de true

 

Adicionalmente, SCILabs identificó en fuentes abiertas que una campaña de Coyote implementa autenticación mutua para establecer comunicación con su servidor de C2.

Figura 13. Fragmento de fuente pública donde observan el uso de autenticación mutua en la variante Coyote

Coyote hace uso de Fody Costura cuya función es embeber (empaquetar) dependencias dentro del mismo ejecutable/assembly principal como recursos y, en tiempo de ejecución, cargar esos archivos DLL embebidas cuando el Common Language Runtime (CLR) las solicita. En el caso de la variante de Coyote Fody Costura empaqueta Newtonsoft y WatsonTcp. Este add-in de Fody facilita la distribución de software al crear una aplicación de un solo archivo, evitando la necesidad de enviar múltiples archivos DLL junto con el ejecutable.

Figura 14. Fody Costura identifica en la variante Coyote

Figura 15. Flujo de ataque identificado del troyano bancario Coyote

TTPs observados alineados al marco MITRE® ATT&CK

Tabla 5. TTPs observados alineados al marco MITRE® ATT&CK

Maverick

En noviembre de 2025, a través del monitoreo en fuentes abiertas SCILabs identificó una investigación derivada de un incidente en el que inicialmente fue detectada una descarga sospechosa de un archivo comprimido tipo ZIP desde WhatsApp Web (web[.]whatsapp[.]com). A partir de esa investigación asociaron varios artefactos a una campaña dirigida a usuarios brasileños, y concluyeron que el archivo descargado de Maverick presentaba una cantidad significativa de similitudes con campañas previamente reportadas de Coyote. Durante su análisis, no se observó la cadena completa de infección, ya que algunos archivos posteriores no fueron entregados por el C2 al momento de la investigación; por ello, su correlación con Coyote se apoya en las muestras recuperadas, los IoCs (Indicadores de compromiso) y la comparación con investigaciones públicas previas.

Algunas características específicas del troyano bancario Maverick, se listan a continuación:

  • WhatsApp Web como vector principal: Se distribuye masivamente a través de mensajes de WhatsApp que contienen archivos ZIP maliciosos.

 

  • Propagación tipo “worm”: Una vez infectado el sistema, utiliza las herramientas Selenium y WPPConnect para secuestrar la sesión activa de WhatsApp Web y reenviar automáticamente el archivo malicioso a todos los contactos de la víctima.

 

  • LNK como dropper con ofuscación compleja: El archivo ZIP contiene un acceso directo (LNK) que ejecuta comandos de PowerShell altamente ofuscados mediante tokens divididos, múltiples bucles “FOR” y codificación UTF-16LE para reconstruir la URL de descarga.

 

  • Ejecución Fileless (completamente en memoria): La cadena de infección está diseñada para ser residente en memoria, cargando ensamblados de .NET y shellcodes sin dejar artefactos persistentes de gran tamaño en el disco.

 

  • Geofencing estricto (Brasil): Antes de instalarse, realiza verificaciones exhaustivas de la zona horaria (UTC-5 a UTC-2), el idioma del sistema (pt-BR), la región y el formato de fecha para asegurar que la víctima esté en Brasil.

 

  • Persistencia mediante archivos Batch ligeros: En lugar de instalar el troyano completo, crea un archivo BAT en la carpeta de inicio (ej. HealthApp-*.bat) que descarga nuevamente el cargador inicial desde el servidor C2 tras cada reinicio.

 

  • Desarrollo asistido por Inteligencia Artificial: Se ha documentado que los atacantes utilizaron IA para asistir en la escritura del código, particularmente para la lógica de descifrado de certificados y funciones generales del agente.

 

  • Infraestructura de red con WatsonTCP: Utiliza la biblioteca de .NET WatsonTCP para establecer túneles de comunicación SSL/TLS estables con su servidor de comando y control (C2).

 

  • Protección con certificados X509 locales: Las comunicaciones se aseguran mediante certificados digitales locales protegidos por contraseña para habilitar la autenticación mutua y evadir la inspección de tráfico.

 

  • Uso de overlays: Tiene la capacidad de desplegar ventanas de phishing fraudulentas sobre las páginas legítimas de los bancos para capturar credenciales y códigos MFA.

 

  • Capacidades avanzadas de control remoto: Incluye funciones para realizar capturas de pantalla, registro de teclas (keylogging), control del ratón, bloqueo de pantalla y finalización de procesos del sistema.

 

  • Cifrado de configuración (AES/GZIP): Las listas de URLs de objetivos financieros se almacenan comprimidas con GZIP y cifradas con AES-256 en formato Base64 para ocultar sus objetivos durante el análisis estático

 

Entre sus capacidades principales, Maverick incluye automatización de WhatsApp Web mediante WPPConnect y Selenium, lo que le permite reenviar mensajes maliciosos desde cuentas comprometidas y ampliar el alcance de la campaña. En paralelo, el componente bancario puede controlar completamente el equipo infectado, tomando capturas de pantalla, habilitando keylogging, controlando el dispositivo mouse, bloqueando la pantalla al detectar el acceso a un sitio bancario y mostrando ventanas de phishing en superposición para capturar credenciales. Una vez activo, monitoriza el acceso de la víctima a 26 bancos brasileños, 6 plataformas de criptomonedas y 1 plataforma de pagos no mencionados explícitamente en el reporte.

Instituciones financieras
BTG Pactual Banco da Amazônia Credisan
Banco BS2 Banco de Brasília Credisis
Banco Banese Banco do Brasil Foxbit
Banco Bmg Banco do Estado do Espírito Santo (Banestes) Itaú Unibanco
Banco Daycoval Banco do Nordeste do Brasil Mercado Bitcoin
Banco Fibra Banco do Pará Sicoob
Banco Mercantil do Brasil Banestes Sicredi
Banco Original Banrisul Sisprime de Brasil
Banco PAN Binance Stone
Banco Regional de Desenvolvimento do Extremo Sul BitcoinTrade Tribanco
Banco Rendimento Blockchain Unicred
Banco Safra Bradesco Uniprime
Banco Santander Brasil Caixa Econômica Federal Viacredi (Ailos)
Banco Sofisa Citibank Zeitbank
Banco Topázio Confesol

Tabla 6. Instituciones financieras objetivo de Maverick identificados en fuentes abiertas

Otra característica destacable es que Maverick incorpora validaciones para verificar que la víctima se encuentre ubicada en Brasil, revisando zona horaria, idioma, región y formato de fecha, con el objetivo de limitar su ejecución a ese país. Además, utiliza Windows UI Automation para extraer el título de la pestaña activa en el navegador y contrastarlo con una lista de entidades financieras objetivo, almacenada como una cadena en Base64, comprimida con GZIP y cifrada con AES-256.

Es importante mencionar una de las características importantes de Maverick, de acuerdo con fuentes públicas es la implementación de inteligencia artificial (IA) en el proceso de escritura de código, específicamente en el descifrado del certificado local X509 para proteger la comunicación del troyano bancario con su servidor de C2. Este certificado es exportado con cifrado con una contraseña hardcodeada (Maverick2025!) para descifrarlo.

Figura 16. Imagen en fuentes abiertas de Maverick en el proceso de carga del certificado X509 cifrado

Durante la elaboración de este reporte, en la misma muestra analizada por SCILabs de una variante de Maverick, también se identificaron cadenas de texto asociadas con la generación de código por IA, tal como se muestra en la siguiente imagen.

Figura 17. Cadenas de texto asociadas con la generación de código con IA identificadas por SCILabs en una variante de Maverick

En la misma muestra de Maverick analizada por SCILabs durante la elaboración de este reporte, se identificó el uso de la biblioteca WatsonTCP con túneles SSL junto con un certificado cifrado X509 cuya contraseña es “Maverick2025!” para establecer comunicación con su servidor de C2. Sin embargo, en esta muestra la autenticación mutua está deshabilitada y no acepta un certificado inválido, por medio de las siguientes opciones establecidas por Maverick:

  • MutuallyAuthenticate = false: deshabilita la autenticación mutua¹ o también llamada autenticación bidireccional. Solo el servidor se autentica ante el cliente, pero el cliente no necesita presentar un certificado digital durante el proceso de negociación de SSL (SSL handshake). En el contexto del código analizado, aunque se tiene un certificado cargado en _trustedServerCertificate, este no se usa para identificarse ante el servidor de C2, sino para validar al servidor mediante certificate pinning.

 

  • AcceptInvalidCertificates = false: en WatsonTcp rechaza cualquier certificado que no pueda ser validado. Sin embargo, esto no significa que se dependa de una CA pública de confianza, sino que la validación se realiza mediante certificate pinning: el cliente lleva embebido el certificado exacto del servidor de C2 (cargado desde Base64 con contraseña en _trustedServerCertificate), y solo acepta ese certificado específico, rechazando cualquier otro, aunque sea técnicamente válido (firmado por otra entidad certificadora de confianza). Esto impide ataques de tipo Man-in-the-Middle (MitM) y garantiza que el cliente comprometido únicamente pueda comunicarse con el servidor de C2 legítimo controlado por el grupo de amenazas.

Figura 18. Implementación de WatsonTcp y certificado X509 en variante de Maverick

En la muestra utilizada por la variante de Maverick no se obtuvo el certificado público X509

Figura 19. Implementación de Fody Costura en la variante Maverick

Figura 20. Diagrama del flujo del ataque observado en la campaña actual de Maverick

TTPs observados alineados al marco MITRE® ATT&CK

Tabla 7. TTPs observados alineados al marco MITRE® ATT&CK

Comparativa entre las diferentes variantes de los troyanos bancarios operados por Blue Margay

La siguiente tabla muestra una comparativa de las características técnicas observadas de las variantes de los troyanos bancarios Silver Oryx Blade, Coyote y Maverick. No obstante, es importante señalar que las características de las primeras cuatro filas presentan el mayor grado de similitud entre los tres troyanos bancarios desde el uso de lenguajes como .NET y C++, hasta la implementación de Fody Costura, WatsonTCP, Json.NET de Newtonsoft y certificados X509 protegidos con contraseña.”.

 

  Silver Oryx Blade Coyote Maverick
Lenguajes de programación .NET C# y C++ .NET C#, C++ y NIM .NET C# y C++
Herramientas y bibliotecas Fody Costura, WatsonTCP, Json.NET de Newtonsoft Fody Costura, WatsonTCP, Json.NET de Newtonsoft, Squirrel, NuGet, Electron app Fody Costura, WatsonTCP, Json.NET de Newtonsoft
Certificado X509 con contraseña X509 con contraseña X509 con contraseña
Método de ofuscación y cifrado Base64 y eliminación de cadenas / AES Base64 y eliminación de cadenas / AES AES
Formato de cargas útiles Archivos de texto plano / Cadena en Base64 en Memoria PE PE
Métodos de carga e inyección DLL Side-Loading DLL Side-Loading y CLR VirtualAllocEx WriteProcessMemory DLL Side-Loading
Método de persistencia Acceso directo en carpeta de inicio de Windows:

 

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ + EACefSubProcessª.lnk

 HKCU\Environment\UserInitMprLogonScript

HKCU\ \Software\Microsoft\Windows\CurrentVersion\Run

 Acceso directo en carpeta de inicio de Windows:

 

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ + “HealthApp-” + GUID + “.bat”
Ventana de instalación Sin ventana de instalación Personalizada Sin ventana de instalación
Tamaño del troyano Menos de 2MB Más de 100 MB en algunas campañas Menos de 2MB
C2 Múltiples dominios en una sola campaña Múltiples dominios en una sola campaña Múltiples dominios en una sola campaña
Técnica destacable Uso de GUID para generar directorios con nombres únicos Windows UI Automation WhatsApp web para propagarse

Tabla 8. Tabla comparativa entre variantes de Silver Oryx Blade, Coyote y Maverick

Dentro del código decompilado observado de estas tres amenazas, SCILabs identificó coincidencias técnicas críticas como el uso de la propiedad “AcceptInvalidCertificates”, que permite al malware aceptar el uso de sus propios certificados digitales X509 locales o auto firmados para el cifrado del tráfico, y la implementación de la propiedad “MutuallyAuthenticate” para asegurar canales SSL mediante autenticación mutua entre el agente y el servidor. Estas coincidencias técnicas en la lógica de protección de las comunicaciones, junto con el empleo de certificados protegidos con contraseña, refuerzan la hipótesis de que este ecosistema de malware dirigido a Brasil es operado y desarrollado por un mismo grupo de amenazas.

Figura 21. Proceso de carga del certificado X509 cifrado en Silver Oryx Blade, Coyote y Maverick

Los troyanos bancarios Silver Oryx Blade, Coyote y Maverick utilizan el complemento Fody Costura como una técnica avanzada de empaquetado para incrustar dependencias de .NET y otros recursos directamente dentro del binario principal. El empleo consistente de esta tecnología en las tres amenazas, junto con bibliotecas compartidas como Json.NET, representa una coincidencia técnica significativa que refuerza la hipótesis de que estas campañas son operadas por un mismo grupo de amenazas.

Figura 22. Implementación de Fody Costura en las variantes Silver Oryx Blade, Coyote y Maverick

Características comunes entre Silver Oryx Blade y Coyote:

  • Víctimas: Ambos troyanos están diseñados exclusivamente para atacar el ecosistema financiero de Brasil, monitoreando el acceso de las víctimas a instituciones bancarias y servicios de criptomonedas locales.

 

  • Bibliotecas y Herramientas Compartidas: Ambas amenazas utilizan la biblioteca WatsonTCP para la comunicación con sus servidores de comando y control (C2). También emplean el framework Json.NET (Newtonsoft) para la manipulación de datos y Fody Costura para incrustar recursos .NET.

 

  • Método de ofuscación de cadenas de texto: En fuentes abiertas identificaron una variante del troyano bancario Coyote, que muestra una técnica de ofuscación similar a la observada por SCILabs en el troyano bancario Silver Oryx Blade.

 

  • Uso de Cifrado AES: Tanto Coyote como Silver Oryx Blade aplican cifrado AES para proteger cadenas de texto específicas, URLs bancarias o el payload final dentro de su cadena de infección.

 

  • Lenguajes de Programación: Ambos malware están desarrollados utilizando una combinación de C# (.NET) y C++ en sus diferentes etapas.

 

  • Infraestructura Vinculada: Se ha detectado que el dominio milkdavaca[.]com, utilizado en campañas de Silver Oryx Blade, comparte el mismo certificado SSL y registrante que la infraestructura conocida de Coyote.

 

  • Técnicas de Carga: Ambos emplean la técnica de DLL Side-Loading para evadir la detección, utilizando binarios legítimos para cargar componentes maliciosos en la memoria.

 

  • Monitoreo de Aplicaciones: Ambos realizan un seguimiento activo de las ventanas del navegador para identificar cuándo el usuario accede a uno de los aproximadamente 50 sitios financieros de interés.

 

Método de ofuscación de cadenas de texto Silver Oryx BladeCoyote

En la muestra analizada por SCILabs de Silver Oryx Blade, usa un método de desofuscación en el código decompilado proveniente del DLL inyectada en memoria. Esta forma de desofuscar consiste en decodificar en Base64 una cadena de texto harcodeada en el código recuperado del troyano bancario, para luego remover todas las instancias de una segunda cadena corta de 10 caracteres aleatorias constituida por números y letras minúsculas y mayúsculas, por ejemplo “jwQqSoXE4u”.

Figura 23. Cadenas ofuscadas en una variante del troyano bancario Silver Oryx Blade

En fuentes abiertas SCILabs identificó una variante del troyano bancario Coyote, que muestra una técnica de ofuscación similar a la observada por SCILabs en el troyano bancario Silver Oryx Blade. Esta técnica consiste en una cadena en Base64 que, al intentar decodificarla directamente, daría un error o un resultado sin sentido. Luego el programa utiliza la función “Replace” para eliminar una cadena fija aleatoria (por ejemplo “8sECYQTgBU”), la cual ha sido insertada repetidamente dentro del texto en Base64 como ruido. Una vez eliminado el ruido o cadena basura, el troyano bancario aplica la decodificación estándar (Base64 a UTF-8) para obtener la cadena en texto claro.

Figura 24. Cadenas ofuscadas en Coyote técnica similar observado por SCILabs en Silver Oryx Blade

Basado en lo anterior SCILabs concluye que los troyanos Silver Oryx Blade, Coyote y Maverick presentan una convergencia técnica al compartir el desarrollo en .NET y el uso recurrente de la biblioteca WatsonTCP para sus comunicaciones con el servidor de comando y control (C2). Esta infraestructura se refuerza con el empleo de certificados X509 locales embebidos en las distintas variantes de malware de Blue Margay y el uso compartido de la tecnología Fody Costura para empaquetar recursos y dependencias directamente en el binario. Adicionalmente, el uso sistemático de cifrado AES, ofuscación Base64, el framework Json.NET y victimas centradas en Brasil mediante y ejecución fileless, confirman un alto grado de reutilización de código y tácticas entre los tres troyanos bancarios.

Modelo diamante de Blue Margay

El siguiente modelo diamante fue desarrollado a partir del análisis de malware y de procesos de inteligencia en fuentes abiertas.

Figura 25. Modelo diamante de Blue Margay

Conclusiones

De acuerdo con la telemetría de SCILabs, el panorama de los troyanos bancarios en Brasil ha experimentado una transformación sostenida durante los últimos años con la aparición de Coyote, Silver Oryx Blade y Maverick, amenazas que demuestran una convergencia técnica significativa y una evolución constante hacia el sigilo.

SCILabs considera que el peligro radica en el uso pionero de tecnologías avanzadas para evadir soluciones de seguridad tradicionales. Mientras que Coyote destaca por ser el primer malware identificado en abusar del marco Microsoft UI Automation (UIA) para extraer credenciales directamente de las pestañas del navegador, Maverick eleva el nivel de amenaza mediante una operación enteramente en memoria y el posible uso de inteligencia artificial para asistir en la escritura de su código, específicamente en la lógica de desencriptación. La naturaleza de worm por medio de WhatsApp Web, observada en las variantes más recientes de Maverick y Coyote, permite una propagación más rápida que no solo facilita el robo de fondos, sino que erosiona la confianza digital de los usuarios.

Para los usuarios de Brasil, el impacto potencial de estos tres troyanos bancarios podría ser alto incluso para la ciberseguridad del mercado financiero brasileño, ya que monitorean activamente decenas de aplicaciones bancarias y servicios de criptomonedas.

Dada su trayectoria de refactorización de código y mejora continua de tácticas, es altamente probable que estos troyanos bancarios sigan evolucionando, integrando métodos de evasión aún más complejos y expandiendo potencialmente su radio de acción hacia otros países de Latinoamérica.

SCILabs continuará monitoreando esta amenaza con la intención de recuperar artefactos de esta familia de troyanos que permitan un mayor entendimiento de este malware para mantener a las organizaciones y usuarios actualizados sobre los cambios en sus TTPs, nuevos IoC o información relevante que podría ser vital para evitar ser víctima de esta campaña.

Finalmente, SCILabs considera que es vital atender a las siguientes recomendaciones con el fin de detectar a tiempo actividad maliciosa relacionada con esta campaña y evitar ser víctima.

Recomendaciones específicas para Blue Margay

  • Agregue los IoCs compartidos en este documento a sus soluciones de seguridad, para reducir la posibilidad de infección por esta variante.

 

  • Restringir o bloquear el uso de WhatsApp Web en terminales que tengan acceso a sistemas financieros sensibles o información corporativa crítica.

 

  • Desplegar soluciones EDR/NGAV con capacidades de análisis de comportamiento para detectar la carga reflectiva de binarios .NET y la ejecución de shellcode en memoria (como el generado por la herramienta Donut).

 

  • Implementar políticas estrictas de ejecución de PowerShell, bloqueando el uso de comandos ofuscados, Base64 y el método IEX (DownloadString). Adicionalmente de realizar actividades de cacería de amenazas (Threat Hunting) sobre este mismo tipo de técnicas en su infraestructura.

 

  • Vigilar la creación de archivos con el patrón de nombre HealthApp-*.bat en la carpeta de inicio de Windows (Startup) y llaves de registro como HKCU\Environment\UserInitMprLogonScript.

 

  • Reforzar la autenticación multifactor (MFA) en todos los accesos a portales bancarios y servicios financieros, ya que estos troyanos están diseñados para robar credenciales estáticas mediante superposición de ventanas (overlays) de phishing.

 

  • Mantenga el sistema operativo actualizado con las últimas versiones de parches de seguridad, para reducir la posibilidad de explotación de vulnerabilidades por parte de un atacante, en sistemas operativos Windows.

 

  • Capacitar al personal, especialmente en departamentos de contabilidad y finanzas, sobre el peligro de descargar archivos ZIP que contengan accesos directos (LNK) recibidos a través de mensajería instantánea o correos que suplanten entidades gubernamentales.

Indicadores de Compromiso

Los siguientes indicadores fueron obtenidos mediante análisis de malware y tienen un alto nivel de confianza.

SHA256

EB615C093E9B52ED409F426764857E6E42AA85E02ADEF59D6F1457DCBB90BB40

77C552981A57576C12EB0E0BF186424925C70F13AFB5D93D20D28D4DF5FE1A89

56D6D649061458B8524A133ED6DB63C33F4E0A425A64AD927E248286FEA0F677

4469CF139AE0E268B22E6409CF6BBBE807CEE29CBE24C2C40AE42B171FA87788