Redazione RHC : 26 septiembre 2025 17:17
Rhadamanthys es un ladrón de información avanzado que surgió por primera vez en 2022. Con un ciclo de desarrollo rápido (con al menos diez versiones diferentes desde su creación), el malware se promociona y comercializa en foros clandestinos.
A pesar de la prohibición de su uso contra Rusia y/o antiguas repúblicas soviéticas, el producto todavía está disponible en el mercado negro; los precios parten de 250 dólares por 30 días de acceso, un precio que favorece su difusión entre los cibercriminales.
Rhadamanthys está diseñado para recopilar una amplia gama de datos: información del sistema, credenciales, monederos de criptomonedas, contraseñas almacenadas en navegadores, cookies y datos de numerosas aplicaciones. Integra numerosas contramedidas antianálisis que dificultan la observación del código y su ejecución en entornos de pruebas.
El Grupo Insikt de Recorded Future adquirió y analizó la última versión, la 0.7.0, destacando varias novedades. La innovación más significativa reside en el uso de inteligencia artificial: mediante el reconocimiento óptico de caracteres (OCR) , Rhadamanthys ahora puede identificar y extraer automáticamente frases semilla de monederos de criptomonedas a partir de imágenes. La función se divide en componentes cliente y servidor: el cliente identifica las imágenes que podrían contener frases semilla y, una vez exfiltradas al servidor de comando y control, el backend realiza la extracción completa.
Entre otras novedades, la versión 0.7.0 permite a los atacantes ejecutar e instalar paquetes de Microsoft Installer (MSI), un vector que puede eludir los controles de seguridad tradicionales, ya que los archivos MSI suelen asociarse con instalaciones legítimas. Además, el desarrollador ha reforzado y protegido contra manipulaciones la función que impide que el malware se vuelva a ejecutar dentro de un plazo configurable, actualizándola con mecanismos de cifrado y hash.
El malware es popular entre la comunidad criminal; su rápida evolución y sus nuevas funciones lo convierten en una amenaza significativa para las organizaciones. Su desarrollador principal, conocido bajo el seudónimo «kingcrete2022», ha sido expulsado de los foros XSS y Exploit debido a acusaciones de atacar a repúblicas rusas o de la antigua URSS. A pesar de las prohibiciones, el autor continúa anunciando nuevas versiones a través de mensajes privados en TOX, Telegram y Jabber.
El informe del Grupo Insikt describe las estrategias de mitigación que las organizaciones deberían adoptar. También proporciona detecciones para Rhadamanthys y, como medida preventiva, describe un interruptor de seguridad basado en la configuración de mutex conocidos en sistemas no infectados para bloquear su ejecución y proteger las máquinas en riesgo.
Los ladrones de información representan una amenaza significativa para la seguridad corporativa: la práctica generalizada de reutilizar contraseñas facilita la escalada de información del ámbito personal al profesional. Las credenciales robadas de cuentas privadas, por ejemplo, de una red social, pueden permitir el acceso no autorizado a cuentas de trabajo, especialmente cuando las direcciones de correo electrónico profesionales son fáciles de encontrar en las plataformas de redes sociales. Además, el uso combinado de dispositivos para actividades personales y profesionales aumenta el riesgo de infección: la apertura de enlaces maliciosos o la navegación en sitios web comprometidos por parte de empleados o familiares puede exponer las credenciales corporativas.
Por estas razones, el informe enfatiza la importancia de contar con políticas de contraseñas sólidas, capacitación continua del personal sobre prácticas de navegación segura y controles de acceso rigurosos para reducir el impacto de los ladrones de información.
Este artículo se basa, total o parcialmente, en información de la plataforma de inteligencia de Recorded Future , socio estratégico de Red Hot Cyber y líder mundial en inteligencia de ciberamenazas. Esta plataforma proporciona análisis avanzados para detectar y contrarrestar la actividad maliciosa en el ciberespacio.
RedazioneEl Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
