Redazione RHC : 18 septiembre 2025 07:28
Los sistemas Linux están siendo blanco de una reciente campaña de malware, conocida como «Sindoor Dropper», que utiliza técnicas avanzadas de phishing selectivo y un complejo proceso de infección. Las víctimas son engañadas con señuelos relacionados con el reciente conflicto entre Pakistán e India, conocido como la Operación Sindoor, para que ejecuten archivos maliciosos.
Según el análisis del sistema Nextron, una vez ejecutado, abre un PDF inofensivo para mantener la ilusión de legitimidad, a la vez que inicia silenciosamente un proceso de infección complejo y altamente ofuscado en segundo plano. Este proceso está diseñado para evadir tanto el análisis estático como el dinámico: la carga útil inicial, en el momento de su descubrimiento, no tenía detecciones en VirusTotal.
La característica distintiva de esta actividad es el uso de .desktopfile, un método previamente asociado con APT36, también conocido como Transparent Tribe o Mythic Leopard, es una amenaza persistente avanzada. El ataque comienza cuando un usuario abre un archivo .desktopfile malicioso, llamado «Note_Warfare_Ops_Sindoor.pdf.desktop», que se hace pasar por un documento PDF normal.
El descifrador, un binario de Go comprimido con UPX, se corrompe intencionalmente eliminando sus bytes mágicos ELF, probablemente para eludir los análisis de seguridad en plataformas como Google Docs. El archivo .desktopfile restaura estos bytes en el equipo de la víctima para que el binario vuelva a ser ejecutable. El archivo .desktopfile descarga varios componentes, incluyendo un descifrador AES (mayuw) y un descargador cifrado (shjdfhd).
La carga útil final es una versión reutilizada de MeshAgent, una herramienta legítima de administración remota de código abierto. Una vez implementado, MeshAgent se conecta a un servidor de comando y control (C2) alojado en una instancia EC2 de Amazon Web Services (AWS) en wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx
Esto inicia un proceso de varios pasos en el que cada componente descifra y ejecuta el siguiente. La cadena incluye comprobaciones básicas contra máquinas virtuales, como la verificación de nombres y proveedores de adaptadores, la inclusión en listas negras de prefijos de direcciones MAC específicos y la comprobación del tiempo de actividad de las máquinas.
Todas las cadenas dentro de los droppers se ofuscan mediante una combinación de codificación Base64 y cifrado DES-CBC para dificultar aún más el análisis. Esto otorga al atacante acceso remoto completo al sistema comprometido, lo que le permite monitorear la actividad del usuario, moverse lateralmente por la red y extraer datos confidenciales, según Nextron.
La campaña Sindoor Dropper destaca una evolución en las técnicas de ataque de los cibercriminales, demostrando un enfoque claro en los entornos Linux, que son menos vulnerables a las campañas de phishing.
RedazioneYa habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
