A principios de agosto de 2025, los equipos de ciberseguridad en Türkiye observaron un nuevo y altamente evasivo cargador basado en Java que pasó más allá de cada caja de arena pública, solución antivirus e incluso plataformas EDR/XDR empresariales.
Esta amenaza, codificada Soupdealer, se llevó a cabo como una campaña de phishing que distribuye un cargador de tres etapas a través de archivos como Teklifalinacakurunler.jar.
Implementado a través de Spearphishing dirigido, el archivo .JAR inicial solo desempaqueta su verdadera carga útil después de verificar el entorno de la víctima está ejecutando ventanas en turco y ubicado dentro de Türkiye.
Una vez confirmado, descarga TOR, programa tareas persistentes y establece un canal encubierto C2 sobre la red Tor.
Investigadores de malwation anotado que esta campaña aprovechó los cargadores de clase personalizados para descifrar y cargar cargas útiles sucesivas por completo en la memoria, frustrando los motores de análisis estáticos y dinámicos.
Después de que las capas de ofuscación de la primera etapa se despeguen, una pequeña clase de Java (Loader7) realiza el descifrado AES -ECB de un recurso integrado llamado D6RUWZOKGZM12DXI.
11 clases y una carga útil de Stage2 (Fuente – Malwation)
La clave de descifrado, codificada como una cadena simple, se expande a través de SHA-512 y se trunca para derivar la tecla AES. Una vez descifrado, la carga útil de Stage2 surge como Stage2.Jar, que contiene un recurso “Stub” cifrado al estilo RC4 de Matryoshka.
Después de la segunda etapa, la clase STUB descifrada utiliza una anulación de Clase FindCals personalizada para definir las clases directamente de las matrices de bytes redactadas por RC4, evitando efectivamente los indicadores de disco en el disco.
.
En incidentes vivos, Soupdealer pasó por alto los controles antivirus basados en el host al confirmar que ningún producto de seguridad estaba activo antes de continuar. Luego descarga y ejecuta Tor si aún no está presente, verificando la conectividad a través de check.torproject.org sobre un proxy local.
ClassLoader personalizado (Fuente – Malwation)
Finalmente, lanza el módulo Backdoor Adwind, estableciendo una conexión C2 en redacciones en puertos predefinidos con autenticación cifrada.
Evasión de persistencia y detección
La persistencia de Soupdealer depende de las modificaciones de programador de tareas de Windows y de registro disfrazados de nombres benign.
Al obtener privilegios administrativos, crea una tarea programada con un nombre aleatorizado, invocando el cargador Java diariamente con un retraso de inicio.
Operaciones de ofuscación (Fuente – Malwation)
Simultáneamente, se escribe en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run utilizando un script .reg de formato regedit.
Script de descifrado de Python para d6ruwzokgzm12dxi import hashlib de crypto.cipher import aes key = “875758066416” clave = hashlib.sha512 (key.encode (“utf-8”)). Digest () (: 16) con abierto (“d6ruwzokgzm1222222222”) F: cifradox = f.Read () cipher = aes.new (clave, aes.mode_ecb) pLaintext = cipher.decrypt (cifrado de cifrado) con open (“stage2.jar”, “wb”) como f: f.write (asmaintext)
Para evadir la detección heurística, cada etapa incorpora operaciones basura y cifrado de cadenas, eliminando todo el código no esencial antes de la ejecución.
El enfoque de desempaquetado dinámico asegura que el código visible en la memoria no se parezca a las firmas estáticas, lo que hace que los motores AV tradicionales y los detectores de sandbox sean ciegos.
Al combinar el descifrado de múltiples etapas, la carga de clase en la memoria y las verificaciones de ejecución condicional, SoupDealer ejemplifica el malware sigiloso de la próxima generación que prospera en entornos del mundo real.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
