Redazione RHC : 2 septiembre 2025 14:38
Recientemente, se detectó un subgrupo avanzado vinculado al conocido actor de amenazas Lazarus que distribuía tres troyanos de acceso remoto (RAT) diferentes dentro de organizaciones financieras y de criptomonedas comprometidas. El acceso inicial se logró principalmente mediante campañas de ingeniería social en Telegram, donde los atacantes se hicieron pasar por empleados legítimos de importantes empresas comerciales.
Sitios web de citas falsos, incluyendo portales falsos como Calendly y Picktime, atraen a las víctimas mediante un exploit de día cero de Chrome que permite la ejecución silenciosa de código en sus equipos. Una vez dentro de la red, los atacantes implementan PondRAT como primer paso y luego utilizan ThemeForestRAT, más difícil de detectar y que solo se ejecuta en memoria.
El uso de nuevas familias de malware y presuntos exploits de día cero tomó por sorpresa a muchos defensores. A la urgencia se suma la sofisticada seguridad operativa del grupo, que demuestra la capacidad de combinar cargadores personalizados con el secuestro de DLL de Windows y el cifrado DPAPI.
Tras meses de exploración y maniobras estratégicas, Lazarus optimiza el acceso previo eliminando artefactos innecesarios y procede a instalar una RAT RemotePE avanzada para garantizar un control sostenido.
Los siguientes son los 3 RAT (troyanos de acceso remoto) utilizados en la campaña:
Los analistas de Fox-IT y NCC Group han observado que la velocidad y la precisión de esta cadena de infección ponen de relieve las capacidades avanzadas del autor y su profundo conocimiento de las herramientas personalizadas y públicas.
Los analistas han observado que el servicio SessionEnv está siendo Explotado por PerfhLoader, carga DLL falsas para ejecutar continuamente PondRAT o su predecesor, POOLRAT. El cargador decodifica un archivo de carga útil no transparente (como perfh011.dat) mediante un algoritmo de cifrado XOR antes de ejecutarse en memoria.
Tras el descifrado, PerfhLoader utiliza un cargador manual de DLL de código abierto para inyectar PondRAT en memoria sin escribir archivos ejecutables en el disco, lo que permite el reconocimiento sigiloso y la exfiltración de datos.
RedazioneEl equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
