Ha surgido una sofisticada operación de malware como servicio de un servicio que explota la plataforma GitHub confiable para distribuir cargas útiles maliciosas, que representa una evolución significativa en las tácticas ciberdeliminales.
La operación aprovecha las cuentas falsas de GitHub para alojar un arsenal de herramientas de malware, complementos y cargas útiles, capitalizando la aceptación corporativa generalizada de GitHub para evitar los mecanismos de filtrado web tradicionales.
La campaña maliciosa se dirige a las entidades ucranianas a través de correos electrónicos de phishing cuidadosamente diseñados que contienen archivos adjuntos de archivo comprimidos.
Estos archivos ocultan archivos JavaScript que emplean múltiples capas de ofuscación para disfrazar a los descargadores de PowerShell, entregando el malware Amadey y sus herramientas asociadas.
Primera capa de ofuscación (Fuente – Cisco Talos)
La infraestructura de la operación demuestra una notable sofisticación, utilizando repositorios públicos de GitHub como directorios abiertos para organizar cargas útiles personalizadas en múltiples familias de malware.
El ataque inicialmente llamó la atención a través de su conexión con una campaña separada de phishing Smokeloader que también atacó a las organizaciones ucranianas.
Sin embargo, analistas de Cisco Talos identificado El alcance más amplio de la operación en abril de 2025, revelando su verdadera naturaleza como una plataforma MAAS integral.
Los investigadores descubrieron que la misma variante de cargador Emmenhtal utilizada en la campaña Smokeloader estaba siendo reutilizada para entregar cargas útiles de Amadey y otras herramientas maliciosas.
Lo que hace que esta operación sea particularmente preocupante es su abuso de la infraestructura legítima de Github.
Legendary999999 Descripción general de la cuenta de Github (Fuente – Cisco Talos)
Los actores de amenaza crearon tres cuentas principales: Legendary99999, DFFE9EWF y MILIDMDDDS, cada uno que sirven a fines distintos dentro de la red de distribución de malware.
Descripción general de la cuenta de Milidmdds GitHub (Fuente – Cisco Talos)
La cuenta más activa, Legendary99999, contenía más de 160 repositorios con nombres aleatorios, cada uno alojando un solo archivo malicioso en la sección “Lanzamientos”.
Mecanismo de infección avanzado y entrega de carga útil de varias etapas
El cargador Emmenhtal sirve como el vector de infección primario, empleando un sofisticado esquema de ofuscación de cuatro capas que demuestra capacidades de evasión avanzadas.
La primera capa define una serie de variables de dos letras asignadas a valores numéricos, que se aplican a una larga cadena de valores separados por comas almacenados en una variable con nombre aleatorio como “Qixsf”.
Esta capa de ofuscación inicial oculta efectivamente el código malicioso de las herramientas básicas de análisis estático.
La segunda capa utiliza la función ActiveXObject para ejecutar un comando PowerShell codificado a través de WScript.Shell, mientras que la tercera capa contiene un comando PowerShell con una mancha binaria cifrada de AES.
La capa final descifra y ejecuta un script PowerShell cifrado de AES adicional que inicia la descarga de la carga útil de la próxima etapa de las direcciones IP codificadas, incluidos 185.215.113.16 y 185.215.113.43.
Este enfoque de varias etapas permite al malware ofrecer diversas cargas útiles, incluidos robos de información como Rhadamanthys, Lumma y Redline, así como troyanos de acceso remoto como Asyncrat.
La adaptabilidad de la operación se demuestra aún más por su capacidad de entregar herramientas legítimas como Putty.exe junto con cargas útiles maliciosas, mostrando la flexibilidad del modelo MAAS para cumplir con varios requisitos del cliente.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
