La herramienta de administración remota PureHVNC (RAT) se ha convertido en un componente sofisticado de la familia de malware puro, ganando prominencia a mediados de 2025 en medio de un aumento en las campañas de intrusión específicas.
Originario de foros subterráneos y canales de telegrama, PureHVNC es comercializado por su autor, conocido como Purecoder, junto con herramientas complementarias como PurecryPter, Purelogs y Pureminer.
Su adopción por parte de clientes cibercriminales refleja una creciente demanda de suites de malware modulares capaces de control de sistemas y exfiltración de datos sigilosos.
Las implementaciones iniciales han aprovechado la técnica de phishing de ClickFix, atrayendo a las víctimas con ofertas de trabajo falsificadas para ejecutar scripts maliciosos, preparando el escenario para intrusiones en varias etapas.
En un incidente notable, los atacantes desplegaron un cargador de óxido, seguido de rata PureHVNC y el marco de comando y control de Sliver sobre una ventana de ocho días.
Analistas de Check Point anotado Que durante esta campaña, PureHVNC se comunicó con su servidor de control para recuperar tres URL de GitHub que alojan módulos de soporte, lo que implica directamente las cuentas de GitHub del desarrollador en la infraestructura operativa del malware.
Estos repositorios de GitHub contenían ejecutables del controlador del navegador y archivos de complementos esenciales para las funcionalidades de TwitchBot y YouTubebot, que ilustra una cadena de suministro inusual de desarrollador para archivos de soporte de malware.
Más allá de sus tácticas de infiltración iniciales, PureHVNC demuestra capacidades avanzadas para la persistencia y la escalada de privilegios.
Tras la ejecución, la rata se registra a través de tareas programadas nombradas para imitar los servicios legítimos de Google Updater, asegurando la resiliencia entre los reinicios.
Cadena de infección (fuente – punto de verificación)
Si se ejecuta sin privilegios administrativos, provoca un bucle de elevación de UAC usando PowerShell:-
while ($ true) {start -process -filepath cmd (.) exe -verb runas -argumentList ‘regsvr32 (.) exe malware (.) dll –typerenderer’ salida}
Una vez elevado, el cargador establece un Mutex (MistyRowenavy) para evitar la ejecución duplicada y crea una tarea programada con un intervalo de repetición de un minuto.
Solicitud de ClickFix (Fuente – Punto de verificación)
Este enfoque, combinado con el bypass de AMSI a través de un gancho LDRLoaddll, permite que PureHVNC permanezca sin ser detectado por las defensas en tiempo real mientras mantiene el control del punto final.
Mecanismo de infección
El cargador inicial de PureHVNC es un ensamblaje de .NET administrado por el código de carcasa del cargador de óxido. El cargador descifra su carga útil utilizando Chacha20-Poly1305, valida el tamaño de la carga útil contra un umbral de 1 kb y asigna la memoria ejecutable para alojar el ensamblaje de .NET descifrado.
El ensamblaje incrustado se carga y ejecuta luego, inicializando el bucle principal de la rata. La comunicación se establece a través de las transmisiones SSL, donde el BOT envía información del sistema comprimida por GZIP, incluida la versión del sistema operativo, los productos antivirus instalados y los metadatos como ID de campaña, al servidor C2.
Los comandos entrantes se reciben como buffers comprimidos, descomprimidos, deserializados y enviados a hilos de complemento para su ejecución.
Al segmentar la entrega de la carga útil y emplear el cifrado y la compresión, PureHVNC evade la detección de firma estática y complica el descubrimiento basado en la red, subrayando su mecanismo de infección sigiloso.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
