Redazione RHC : 13 agosto 2025 14:40
Trend Micro ha detectado un ataque dirigido a los sectores gubernamental y de aviación en Oriente Medio mediante un nuevo ransomware llamado Charon. Los atacantes emplearon una cadena de infección compleja con carga lateral de DLL, inyección de procesos y capacidades de omisión de EDR, típicas tanto de operaciones APT avanzadas como de ransomware convencional.
El vector de ataque comienza con la ejecución de un archivo legítimo Edge.exe (anteriormente cookie_exporter.exe), que se utiliza para cargar una biblioteca maliciosa msedge.dll llamada SWORDLDR. Este último descifra el shellcode cifrado del archivo DumpStack.log e inyecta la carga útil, es decir, el propio Charon, en el proceso svchost.exe, haciéndose pasar por un servicio del sistema de Windows.
Tras descifrar todas las capas de enmascaramiento, los expertos confirmaron que el ejecutable final cifra los datos y deja una firma de infección distintiva: «¡hCharon ha entrado en el mundo real!», al final de cada archivo cifrado. Todos los archivos cifrados reciben la extensión .Charon, y en los directorios aparece una nota de rescate (Cómo restaurar tus archivos.txt), que menciona a una víctima específica y confirma el objetivo del ataque.
Charon admite diversas opciones de línea de comandos, desde especificar rutas de cifrado hasta priorizar recursos de red. Al iniciarse, crea un mutex llamado OopsCharonHere, finaliza los procesos de protección, deshabilita los servicios de seguridad, elimina las instantáneas y vacía la Papelera de reciclaje. A continuación, procede a cifrar en un subproceso multihilo, omitiendo los archivos del sistema (.exe, .dll), así como sus propios componentes y la nota de rescate.
Se utiliza un esquema de cifrado híbrido: Curve25519 para el intercambio de claves y ChaCha20 para el cifrado de datos. Cada archivo incluye un pie de página de 72 bytes que contiene la clave pública y los metadatos de la víctima, lo que permite el descifrado de datos si la clave privada está disponible.
Además, Charon cuenta con capacidades de movimiento lateral: escanea la red mediante NetShareEnum y WNetEnumResource, cifra los recursos compartidos accesibles e incluso trabaja con rutas UNC, omitiendo únicamente ADMIN$ para reducir las posibilidades de detección.
El binario también contiene, aunque inactivo, un componente basado en un controlador del proyecto de código abierto Dark-Kill, diseñado para deshabilitar soluciones EDR. Debería instalarse como un servicio de WWC, pero no se utiliza en la versión actual; es probable que la función aún no esté habilitada y se esté preparando para futuras iteraciones.
Si bien el uso de herramientas similares a las del grupo chino Earth Baxia es sospechoso, no hay pruebas concluyentes de su participación: tal vez estén adoptando tácticas o desarrollando los mismos conceptos de forma independiente.
La aparición de Charon es una prueba más de que el ransomware está adoptando activamente métodos sofisticados de APT. La combinación de técnicas avanzadas de evasión con daños directos al negocio, como pérdida de datos y tiempo de inactividad, aumenta los riesgos y obliga a las organizaciones a replantear su estrategia de defensa.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
