Llega el ransomware Charon. Supera la EDR, es sigiloso y se asemeja a las principales APT.

Redazione RHC : 13 agosto 2025 14:40

Trend Micro ha detectado un ataque dirigido a los sectores gubernamental y de aviación en Oriente Medio mediante un nuevo ransomware llamado Charon. Los atacantes emplearon una cadena de infección compleja con carga lateral de DLL, inyección de procesos y capacidades de omisión de EDR, típicas tanto de operaciones APT avanzadas como de ransomware convencional.

El vector de ataque comienza con la ejecución de un archivo legítimo Edge.exe (anteriormente cookie_exporter.exe), que se utiliza para cargar una biblioteca maliciosa msedge.dll llamada SWORDLDR. Este último descifra el shellcode cifrado del archivo DumpStack.log e inyecta la carga útil, es decir, el propio Charon, en el proceso svchost.exe, haciéndose pasar por un servicio del sistema de Windows.

Tras descifrar todas las capas de enmascaramiento, los expertos confirmaron que el ejecutable final cifra los datos y deja una firma de infección distintiva: «¡hCharon ha entrado en el mundo real!», al final de cada archivo cifrado. Todos los archivos cifrados reciben la extensión .Charon, y en los directorios aparece una nota de rescate (Cómo restaurar tus archivos.txt), que menciona a una víctima específica y confirma el objetivo del ataque.

Charon admite diversas opciones de línea de comandos, desde especificar rutas de cifrado hasta priorizar recursos de red. Al iniciarse, crea un mutex llamado OopsCharonHere, finaliza los procesos de protección, deshabilita los servicios de seguridad, elimina las instantáneas y vacía la Papelera de reciclaje. A continuación, procede a cifrar en un subproceso multihilo, omitiendo los archivos del sistema (.exe, .dll), así como sus propios componentes y la nota de rescate.

Se utiliza un esquema de cifrado híbrido: Curve25519 para el intercambio de claves y ChaCha20 para el cifrado de datos. Cada archivo incluye un pie de página de 72 bytes que contiene la clave pública y los metadatos de la víctima, lo que permite el descifrado de datos si la clave privada está disponible.

Además, Charon cuenta con capacidades de movimiento lateral: escanea la red mediante NetShareEnum y WNetEnumResource, cifra los recursos compartidos accesibles e incluso trabaja con rutas UNC, omitiendo únicamente ADMIN$ para reducir las posibilidades de detección.

El binario también contiene, aunque inactivo, un componente basado en un controlador del proyecto de código abierto Dark-Kill, diseñado para deshabilitar soluciones EDR. Debería instalarse como un servicio de WWC, pero no se utiliza en la versión actual; es probable que la función aún no esté habilitada y se esté preparando para futuras iteraciones.

Si bien el uso de herramientas similares a las del grupo chino Earth Baxia es sospechoso, no hay pruebas concluyentes de su participación: tal vez estén adoptando tácticas o desarrollando los mismos conceptos de forma independiente.

La aparición de Charon es una prueba más de que el ransomware está adoptando activamente métodos sofisticados de APT. La combinación de técnicas avanzadas de evasión con daños directos al negocio, como pérdida de datos y tiempo de inactividad, aumenta los riesgos y obliga a las organizaciones a replantear su estrategia de defensa.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli