Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

SoopSocks: El paquete PyPI que parecía un proxy pero era una puerta trasera para Windows

Antonio Piazzolla : 4 octubre 2025 12:48

La historia de SoopSocks es una que, lamentablemente, conocemos bien: un paquete PyPI que promete utilidad (un proxy SOCKS5) pero en realidad introduce una implementación maliciosa bien orquestada .

No se trata de un script improvisado cualquiera; SoopSocks se construye con una cadena de acciones diseñada para lograr persistencia, reducir el ruido y establecer un canal de comando/control estable. El paquete se ha publicado en PyPI (Índice de Paquetes de Python) , el registro oficial de paquetes de Python.

El paquete engañoso, llamado » soopsocks «, tuvo 2653 descargas antes de ser eliminado. Fue subido por primera vez por un usuario llamado «soodalpie» el 26 de septiembre de 2025, la misma fecha en que se creó la cuenta.

Esta combinación está diseñada para maximizar las tasas de éxito: componentes compilados para la ejecución, scripts para la integración y mecanismos nativos para la persistencia. El resultado es un paquete que funciona como una «utilidad» a la vez que establece una base remota.

Estrategia del atacante: sigilo y fiabilidad

SoopSocks se disfrazó de biblioteca de Python, según informan investigadores de seguridad , para proporcionar un proxy SOCKS5. En realidad, implementó una pequeña puerta trasera persistente en Windows: se instaló como servicio, abrió el puerto de firewall correspondiente, permaneció activo tras los reinicios y envió información periódicamente.

Cómo instalar: Tras la instalación, el paquete no se limitaba a los módulos de Python. En algunas versiones, también incluía un ejecutable compilado (escrito en Go) y uno o más scripts de orquestación (PowerShell/VBScript). Estos componentes se utilizaban para:

  • instalar un servicio de Windows que se inicie automáticamente (de modo que se reinicie en cada arranque);
  • tener un plan B de persistencia en marcha a través de una tarea programada, si falla la creación del servicio;
  • Ejecute comandos de PowerShell en modo “silencioso” (omitiendo las políticas de ejecución y reduciendo los mensajes en pantalla) para configurarse y permanecer bajo el radar.

¿Qué hace una vez activo?

Oficialmente, expuso un proxy SOCKS5 (normalmente en el puerto 1080). Entre bastidores:

  • Se agregaron reglas de firewall para abrir el puerto proxy, de modo que el tráfico entrante no se bloqueara;
  • persistencia mantenida (servicio + tarea) para sobrevivir a reinicios o intentos de “limpieza” incompletos;
  • Ejecutaba telemetría de bajo perfil : a intervalos regulares, recopilaba información sobre la máquina (nombre de host, versión del sistema, configuración y estado de la red, direcciones IP) y la enviaba utilizando canales comunes (HTTPS), generalmente en paquetes pequeños y frecuentes para no atraer la atención.

Porque es difícil notarlo

Muchas acciones se ejecutaban mediante herramientas legítimas de Windows (PowerShell, Programador de tareas, administración del firewall). Desde una perspectiva de monitoreo de firmas, estas operaciones podrían parecer tareas administrativas normales. Además, al ofrecer un SOCKS5 funcional, el paquete redujo el umbral de sospecha : quienes lo probaron vieron que cumplía su función y rara vez revisaron los componentes adicionales.

El punto clave

SoopSocks combinó una funcionalidad útil (el proxy) con mecanismos de intrusión/persistencia bien conocidos. Esta combinación transformó una biblioteca aparentemente inocua en un punto de apoyo remoto : un host que un atacante podía usar como proxy controlable y desde el cual recopilar datos, con un perfil de ruido de red deliberadamente bajo.

Esta estrategia demuestra una comprensión práctica del funcionamiento de los equipos de defensa corporativa: los atacantes diseñan sus técnicas para que parezcan «normales» en comparación con su perfil operativo diario. El uso de entornos de desarrollo como punto de difusión permite la creación de puntos de persistencia para el movimiento lateral. Además, el uso de repositorios internos/locales permite preservar las versiones maliciosas incluso después de su eliminación en línea, ya que permanecen en caché.
Sin reglas periódicas de prueba y limpieza, los equipos de desarrollo corren el riesgo de seguir utilizándolas sin darse cuenta.

SoopSocks no ha revolucionado el panorama de amenazas, pero sí ha demostrado cómo la combinación de componentes legítimos y técnicas probadas puede convertir una biblioteca en un vector de vulnerabilidad grave. Para las organizaciones, el desafío no es solo técnico, sino sobre todo procedimental: defender la cadena de suministro de software requiere controles y procedimientos.

Antonio Piazzolla


Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...