Redazione RHC : 2 septiembre 2025 14:38
Recientemente, se detectó un subgrupo avanzado vinculado al conocido actor de amenazas Lazarus que distribuía tres troyanos de acceso remoto (RAT) diferentes dentro de organizaciones financieras y de criptomonedas comprometidas. El acceso inicial se logró principalmente mediante campañas de ingeniería social en Telegram, donde los atacantes se hicieron pasar por empleados legítimos de importantes empresas comerciales.
Sitios web de citas falsos, incluyendo portales falsos como Calendly y Picktime, atraen a las víctimas mediante un exploit de día cero de Chrome que permite la ejecución silenciosa de código en sus equipos. Una vez dentro de la red, los atacantes implementan PondRAT como primer paso y luego utilizan ThemeForestRAT, más difícil de detectar y que solo se ejecuta en memoria.
El uso de nuevas familias de malware y presuntos exploits de día cero tomó por sorpresa a muchos defensores. A la urgencia se suma la sofisticada seguridad operativa del grupo, que demuestra la capacidad de combinar cargadores personalizados con el secuestro de DLL de Windows y el cifrado DPAPI.
Tras meses de exploración y maniobras estratégicas, Lazarus optimiza el acceso previo eliminando artefactos innecesarios y procede a instalar una RAT RemotePE avanzada para garantizar un control sostenido.
Los siguientes son los 3 RAT (troyanos de acceso remoto) utilizados en la campaña:
Los analistas de Fox-IT y NCC Group han observado que la velocidad y la precisión de esta cadena de infección ponen de relieve las capacidades avanzadas del autor y su profundo conocimiento de las herramientas personalizadas y públicas.
Los analistas han observado que el servicio SessionEnv está siendo Explotado por PerfhLoader, carga DLL falsas para ejecutar continuamente PondRAT o su predecesor, POOLRAT. El cargador decodifica un archivo de carga útil no transparente (como perfh011.dat) mediante un algoritmo de cifrado XOR antes de ejecutarse en memoria.
Tras el descifrado, PerfhLoader utiliza un cargador manual de DLL de código abierto para inyectar PondRAT en memoria sin escribir archivos ejecutables en el disco, lo que permite el reconocimiento sigiloso y la exfiltración de datos.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
