La aparición de Devilstongue marca una escalada significativa en las capacidades de spyware mercenario, aprovechando las técnicas avanzadas basadas en Windows para infiltrarse en objetivos de alto valor en todo el mundo.
Observado por primera vez en campañas que datan de 2019, este malware modular explota agresivamente vulnerabilidades del navegador de día cero y documentos armados para obtener acceso inicial.
Una vez implementado, establece una presencia sigilosa, exfiltrando datos confidenciales de entornos corporativos y personales por igual.
Los futuros investigadores registrados identificaron una nueva infraestructura de nivel de víctimas y nivel de operador en múltiples países, lo que subraya tanto la escala global de operaciones como la diversidad de prácticas administrativas en los grupos.
Los vectores de ataque de Devilstongue incluyen Spearphishing con vínculos maliciosos, compromisos de abrevadero estratégico y documentos de la oficina atrapados en la bocina.
El grupo de análisis de amenazas de Google observó exploits dirigidos a Chrome e Internet Explorer en 2021, específicamente CVE-2021-21166 y CVE-2021-33742, entregando cargas útiles de Devilstongue a través de URL de un solo uso y objetos ActiveX integrados.
Después del compromiso inicial, el malware aprovecha un controlador firmado (Physmem.sys) para lograr el acceso a la memoria a nivel de núcleo, permitiendo la ejecución avanzada de la carga útil en la memoria sin escribir en el disco.
Analistas futuros grabados anotado que estas técnicas permiten a Devilstongue evadir la detección tradicional basada en la firma, manteniendo la persistencia bajo el radar en los dispositivos de víctimas.
El impacto global de Devilstongue ha sido profundo. Los clientes gubernamentales en Europa, Medio Oriente y Asia han desplegado el spyware contra políticos, periodistas y disidentes.
Citizen Lab y Microsoft informaron más de 100 víctimas que abarcaban Palestina, Türkiye y España, entre otras.
La infraestructura dirigida se remonta a entidades en Arabia Saudita, Hungría e Indonesia, con algunos grupos aún activos a mediados de 2025.
Línea de tiempo de los registros corporativos de Candiru (Fuente – Futuro registrado)
El alto costo de despliegue, estimado en millones de euros, el uso de limits a objetivos de alto valor, sin embargo, las consecuencias para la privacidad personal y la seguridad nacional son indiscutibles.
Línea de tiempo de la orientación de Candiru (Fuente – Futuro registrado)
Entre los rasgos distintivos de Devilstongue se encuentra su sofisticado mecanismo de persistencia. Tras la ejecución, la DLL de la primera etapa se deja caer en el directorio del sistema y se secuestra una clave de registro de clase COM legítima para cargar esta biblioteca maliciosa.
El malware reinyecta el COM DLL original para preservar la estabilidad del sistema, mientras que su propio código se ejecuta encubierta en la memoria. La persistencia se ve reforzada por el almacenamiento de configuración cifrado y el hash dinámico de los componentes de la carga útil, lo que impide el análisis forense.
Mecanismo de infección
El mecanismo de infección de Devilstongue se centra en la explotación de múltiples etapas y la entrega de carga útil sigilosa.
Inicialmente, un correo electrónico de phishing a medida dirige el objetivo a un dominio malicioso que se hace pasar por servicios legítimos.
Una cadena de explotación del navegador desencadena la ejecución del código remoto, dejando caer un cargador que recupera una carga útil de la segunda etapa cifrada.
Opciones de precios de Candiru (Fuente – Futuro grabado)
Este cargador emplea a un controlador firmado, Physmem.sys, para asignar la carga útil en la memoria con privilegios del núcleo.
El fragmento de código a continuación ilustra cómo el malware secuestra una entrada de registro de clase COM para lograr la persistencia:-
// Modificación de registro de secuestro de com HKey HKEY; RegopenkeyExw (HKEY_CLASSES_ROOT, L “CLSID \\ {0000000000-0000-0000-C000-000000000046} \\ INPROCSERVER32”, 0, KEY_SET_VALUE, & HKEY); RegsetValueExw (HKEY, NULL, 0, reg_sz, (byte*) l “c: \\ windows \\ system32 \\ ime \\ stage1.dll”, sizeof (l “c: \\ windows \\ system32 \\ ime \\ stage1.dll”); RegCloseKey (HKEY);
Esta táctica asegura que cada vez que la clase COM se instancea por una aplicación legítima, el DLL malicioso se carga primero, otorgando el control total de Devilstongue.
Los módulos posteriores descifran y ejecutan solo en la memoria, dejando artefactos forenses mínimos en el disco.
Tal ejecución en capas resalta la profundidad de la sofisticación en el diseño de Devilstongue y su evolución continua contra las defensas modernas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
