Redazione RHC : 26 septiembre 2025 17:17
Rhadamanthys es un ladrón de información avanzado que surgió por primera vez en 2022. Con un ciclo de desarrollo rápido (con al menos diez versiones diferentes desde su creación), el malware se promociona y comercializa en foros clandestinos.
A pesar de la prohibición de su uso contra Rusia y/o antiguas repúblicas soviéticas, el producto todavía está disponible en el mercado negro; los precios parten de 250 dólares por 30 días de acceso, un precio que favorece su difusión entre los cibercriminales.
Rhadamanthys está diseñado para recopilar una amplia gama de datos: información del sistema, credenciales, monederos de criptomonedas, contraseñas almacenadas en navegadores, cookies y datos de numerosas aplicaciones. Integra numerosas contramedidas antianálisis que dificultan la observación del código y su ejecución en entornos de pruebas.
El Grupo Insikt de Recorded Future adquirió y analizó la última versión, la 0.7.0, destacando varias novedades. La innovación más significativa reside en el uso de inteligencia artificial: mediante el reconocimiento óptico de caracteres (OCR) , Rhadamanthys ahora puede identificar y extraer automáticamente frases semilla de monederos de criptomonedas a partir de imágenes. La función se divide en componentes cliente y servidor: el cliente identifica las imágenes que podrían contener frases semilla y, una vez exfiltradas al servidor de comando y control, el backend realiza la extracción completa.
Entre otras novedades, la versión 0.7.0 permite a los atacantes ejecutar e instalar paquetes de Microsoft Installer (MSI), un vector que puede eludir los controles de seguridad tradicionales, ya que los archivos MSI suelen asociarse con instalaciones legítimas. Además, el desarrollador ha reforzado y protegido contra manipulaciones la función que impide que el malware se vuelva a ejecutar dentro de un plazo configurable, actualizándola con mecanismos de cifrado y hash.
El malware es popular entre la comunidad criminal; su rápida evolución y sus nuevas funciones lo convierten en una amenaza significativa para las organizaciones. Su desarrollador principal, conocido bajo el seudónimo «kingcrete2022», ha sido expulsado de los foros XSS y Exploit debido a acusaciones de atacar a repúblicas rusas o de la antigua URSS. A pesar de las prohibiciones, el autor continúa anunciando nuevas versiones a través de mensajes privados en TOX, Telegram y Jabber.
El informe del Grupo Insikt describe las estrategias de mitigación que las organizaciones deberían adoptar. También proporciona detecciones para Rhadamanthys y, como medida preventiva, describe un interruptor de seguridad basado en la configuración de mutex conocidos en sistemas no infectados para bloquear su ejecución y proteger las máquinas en riesgo.
Los ladrones de información representan una amenaza significativa para la seguridad corporativa: la práctica generalizada de reutilizar contraseñas facilita la escalada de información del ámbito personal al profesional. Las credenciales robadas de cuentas privadas, por ejemplo, de una red social, pueden permitir el acceso no autorizado a cuentas de trabajo, especialmente cuando las direcciones de correo electrónico profesionales son fáciles de encontrar en las plataformas de redes sociales. Además, el uso combinado de dispositivos para actividades personales y profesionales aumenta el riesgo de infección: la apertura de enlaces maliciosos o la navegación en sitios web comprometidos por parte de empleados o familiares puede exponer las credenciales corporativas.
Por estas razones, el informe enfatiza la importancia de contar con políticas de contraseñas sólidas, capacitación continua del personal sobre prácticas de navegación segura y controles de acceso rigurosos para reducir el impacto de los ladrones de información.
Este artículo se basa, total o parcialmente, en información de la plataforma de inteligencia de Recorded Future , socio estratégico de Red Hot Cyber y líder mundial en inteligencia de ciberamenazas. Esta plataforma proporciona análisis avanzados para detectar y contrarrestar la actividad maliciosa en el ciberespacio.
RedazioneEn unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
