Redazione RHC : 18 septiembre 2025 07:28
Los sistemas Linux están siendo blanco de una reciente campaña de malware, conocida como «Sindoor Dropper», que utiliza técnicas avanzadas de phishing selectivo y un complejo proceso de infección. Las víctimas son engañadas con señuelos relacionados con el reciente conflicto entre Pakistán e India, conocido como la Operación Sindoor, para que ejecuten archivos maliciosos.
Según el análisis del sistema Nextron, una vez ejecutado, abre un PDF inofensivo para mantener la ilusión de legitimidad, a la vez que inicia silenciosamente un proceso de infección complejo y altamente ofuscado en segundo plano. Este proceso está diseñado para evadir tanto el análisis estático como el dinámico: la carga útil inicial, en el momento de su descubrimiento, no tenía detecciones en VirusTotal.
La característica distintiva de esta actividad es el uso de .desktopfile, un método previamente asociado con APT36, también conocido como Transparent Tribe o Mythic Leopard, es una amenaza persistente avanzada. El ataque comienza cuando un usuario abre un archivo .desktopfile malicioso, llamado «Note_Warfare_Ops_Sindoor.pdf.desktop», que se hace pasar por un documento PDF normal.
El descifrador, un binario de Go comprimido con UPX, se corrompe intencionalmente eliminando sus bytes mágicos ELF, probablemente para eludir los análisis de seguridad en plataformas como Google Docs. El archivo .desktopfile restaura estos bytes en el equipo de la víctima para que el binario vuelva a ser ejecutable. El archivo .desktopfile descarga varios componentes, incluyendo un descifrador AES (mayuw) y un descargador cifrado (shjdfhd).
La carga útil final es una versión reutilizada de MeshAgent, una herramienta legítima de administración remota de código abierto. Una vez implementado, MeshAgent se conecta a un servidor de comando y control (C2) alojado en una instancia EC2 de Amazon Web Services (AWS) en wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx
Esto inicia un proceso de varios pasos en el que cada componente descifra y ejecuta el siguiente. La cadena incluye comprobaciones básicas contra máquinas virtuales, como la verificación de nombres y proveedores de adaptadores, la inclusión en listas negras de prefijos de direcciones MAC específicos y la comprobación del tiempo de actividad de las máquinas.
Todas las cadenas dentro de los droppers se ofuscan mediante una combinación de codificación Base64 y cifrado DES-CBC para dificultar aún más el análisis. Esto otorga al atacante acceso remoto completo al sistema comprometido, lo que le permite monitorear la actividad del usuario, moverse lateralmente por la red y extraer datos confidenciales, según Nextron.
La campaña Sindoor Dropper destaca una evolución en las técnicas de ataque de los cibercriminales, demostrando un enfoque claro en los entornos Linux, que son menos vulnerables a las campañas de phishing.
RedazioneA partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...
Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...
El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...
