Redazione RHC : 18 septiembre 2025 07:28
Los sistemas Linux están siendo blanco de una reciente campaña de malware, conocida como «Sindoor Dropper», que utiliza técnicas avanzadas de phishing selectivo y un complejo proceso de infección. Las víctimas son engañadas con señuelos relacionados con el reciente conflicto entre Pakistán e India, conocido como la Operación Sindoor, para que ejecuten archivos maliciosos.
Según el análisis del sistema Nextron, una vez ejecutado, abre un PDF inofensivo para mantener la ilusión de legitimidad, a la vez que inicia silenciosamente un proceso de infección complejo y altamente ofuscado en segundo plano. Este proceso está diseñado para evadir tanto el análisis estático como el dinámico: la carga útil inicial, en el momento de su descubrimiento, no tenía detecciones en VirusTotal.
La característica distintiva de esta actividad es el uso de .desktopfile, un método previamente asociado con APT36, también conocido como Transparent Tribe o Mythic Leopard, es una amenaza persistente avanzada. El ataque comienza cuando un usuario abre un archivo .desktopfile malicioso, llamado «Note_Warfare_Ops_Sindoor.pdf.desktop», que se hace pasar por un documento PDF normal.
El descifrador, un binario de Go comprimido con UPX, se corrompe intencionalmente eliminando sus bytes mágicos ELF, probablemente para eludir los análisis de seguridad en plataformas como Google Docs. El archivo .desktopfile restaura estos bytes en el equipo de la víctima para que el binario vuelva a ser ejecutable. El archivo .desktopfile descarga varios componentes, incluyendo un descifrador AES (mayuw) y un descargador cifrado (shjdfhd).
La carga útil final es una versión reutilizada de MeshAgent, una herramienta legítima de administración remota de código abierto. Una vez implementado, MeshAgent se conecta a un servidor de comando y control (C2) alojado en una instancia EC2 de Amazon Web Services (AWS) en wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx
Esto inicia un proceso de varios pasos en el que cada componente descifra y ejecuta el siguiente. La cadena incluye comprobaciones básicas contra máquinas virtuales, como la verificación de nombres y proveedores de adaptadores, la inclusión en listas negras de prefijos de direcciones MAC específicos y la comprobación del tiempo de actividad de las máquinas.
Todas las cadenas dentro de los droppers se ofuscan mediante una combinación de codificación Base64 y cifrado DES-CBC para dificultar aún más el análisis. Esto otorga al atacante acceso remoto completo al sistema comprometido, lo que le permite monitorear la actividad del usuario, moverse lateralmente por la red y extraer datos confidenciales, según Nextron.
La campaña Sindoor Dropper destaca una evolución en las técnicas de ataque de los cibercriminales, demostrando un enfoque claro en los entornos Linux, que son menos vulnerables a las campañas de phishing.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
