Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

¡Cobalt Strike para todos con CrossC2! Nos centramos en los servidores Linux sin EDR

Redazione RHC : 15 agosto 2025 09:58

Japón se ha visto afectado por una nueva ola de ciberataques que utilizan CrossC2, una herramienta para extender la funcionalidad de Cobalt Strike a las plataformas Linux y macOS. El Centro de Coordinación JPCERT/CC informó que los ataques tuvieron lugar entre septiembre y diciembre de 2024 y afectaron a varios países, incluido Japón.

El análisis de los artefactos subidos a VirusTotal mostró que los atacantes combinaron CrossC2 con otras herramientas como PsExec, Plink y el propio Cobalt Strike para penetrar en la infraestructura de Active Directory. Cobalt Strike se cargó mediante un malware especialmente desarrollado llamado ReadNimeLoader.

CrossC2 es una versión no oficial de Beacon y su compilador que permite la ejecución de comandos de Cobalt Strike en diferentes sistemas operativos tras establecer una conexión con un servidor remoto especificado en la configuración. En los casos reportados, los atacantes crearon una tarea programada en los equipos infectados para ejecutar un archivo ejecutable java.exe legítimo, utilizado para instalar ReadNimeLoader en la biblioteca «jli.dll«.

ReadNimeLoader está escrito en Nim y carga el contenido de un archivo de texto en la memoria, evitando escribir datos en el disco. El código cargado es OdinLdr, un cargador de shellcode abierto que decodifica la baliza Cobalt Strike integrada y la ejecuta en memoria. El mecanismo incluye técnicas antidepuración y antianálisis que impiden la decodificación de OdinLdr hasta que el entorno esté completamente verificado.

JPCERT/CC ha detectado similitudes entre esta campaña y la actividad de BlackSuit/Black Basta, reportada por Rapid7 en junio de 2025. Se encontraron similitudes en el dominio de C&C utilizado y en los nombres de archivo. Además, se han detectado varias versiones ELF de la puerta trasera SystemBC, que suele preceder a la instalación de Cobalt Strike y la distribución de ransomware. Los expertos han prestado especial atención al hecho de que los atacantes han comprometido activamente servidores Linux dentro de redes corporativas. Muchos de estos sistemas no cuentan con soluciones EDR ni herramientas de detección similares, lo que los convierte en un punto de entrada conveniente para futuros ataques. Esto aumenta el riesgo de penetración a gran escala y requiere un mayor control sobre estos segmentos de la infraestructura.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Nunca aceptes memorias USB de desconocidos! Un ejemplo práctico de piratería física con una memoria USB.
Di Massimiliano Brolli - 27/09/2025

¿Alguna vez te han dicho que si encuentras una memoria USB en el suelo, no la conectes a tu ordenador? Hoy te explicaremos por qué no deberías hacerlo mediante una prueba de concepto (PoC). En esta...

Criptomonedas, ransomware y hamburguesas: la combinación fatal para Scattered Spider
Di Redazione RHC - 25/09/2025

El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...

¡Se acabó la fiesta de los regalos! La infraestructura de código abierto está en riesgo y necesita financiación.
Di Redazione RHC - 25/09/2025

Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...

Vulnerabilidades de día cero detectadas en Cisco IOS e IOS XE: actualizaciones urgentes
Di Redazione RHC - 25/09/2025

Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...

Cadena de suministro: El bloqueo de los aeropuertos europeos plantea inquietud sobre un problema cada vez más crítico.
Di Paolo Galdieri - 24/09/2025

El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...