Redazione RHC : 31 agosto 2025 10:04
Un ataque de malware insidioso, conocido como «Sindoor Dropper», ataca sistemas operativos Linux mediante sofisticados métodos de phishing selectivo y un complejo proceso de infección de varias etapas. Esta operación, conocida como Operación Sindoor, se dirige a los usuarios con señuelos relacionados con el reciente conflicto entre Pakistán y la India para engañarlos y que activen archivos maliciosos.
La campaña Sindoor Dropper destaca una evolución en las técnicas de ataque de los cibercriminales, demostrando un claro enfoque en los entornos Linux, que son menos vulnerables a las campañas de phishing.
El ataque comienza cuando un usuario abre un archivo .desktop malicioso, llamado «Note_Warfare_Ops_Sindoor.pdf.desktop», que se hace pasar por un documento PDF normal. Según el análisis del sistema Nextron, una vez ejecutado, abre un PDF señuelo benigno para mantener la ilusión de legitimidad, a la vez que inicia silenciosamente un proceso de infección complejo y altamente ofuscado en segundo plano.
El archivo .desktop, Nextron informa, descarga varios componentes, incluyendo un descifrador AES (mayuw) y un descargador cifrado (shjdfhd). Una característica peculiar de esta actividad es el uso de archivos de escritorio transformados en herramientas ofensivas, una técnica previamente atribuida al grupo APT36, también conocido como Transparent. Tribe o Mythic Leopard se especializa en amenazas avanzadas y persistentes.
El proceso en cuestión fue diseñado para evadir el análisis estático y dinámico. En el momento de su descubrimiento, la carga útil inicial no había dejado rastro en VirusTotal, por lo que permaneció sin detectar. El descifrador, un binario de Go comprimido con UPX, se corrompe intencionalmente eliminando sus bytes mágicos ELF, presumiblemente para eludir los análisis de seguridad en plataformas como Google Docs. El archivo .desktopfile restaura estos bytes en el equipo de la víctima para que el binario vuelva a ser ejecutable.
Esto inicia un proceso de varias etapas en el que cada componente descifra y ejecuta el siguiente. La cadena incluye comprobaciones básicas contra máquinas virtuales, como la verificación de nombres y proveedores de adaptadores, la inclusión en listas negras de prefijos de direcciones MAC específicos y la monitorización del tiempo de actividad de la máquina.
La carga útil final es una versión reutilizada de MeshAgent, una herramienta legítima de administración remota de código abierto. Una vez implementado, MeshAgent se conecta a un servidor de comando y control (C2) alojado en una instancia EC2 de Amazon Web Services (AWS) en wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.
Esto le otorga al atacante acceso remoto completo al sistema comprometido, lo que le permite monitorear la actividad del usuario, moverse lateralmente por la red y extraer datos confidenciales, según Nextron.
RedazioneEl 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...
Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
