El panorama de la ciberseguridad continúa presenciando a los actores de amenaza sofisticados que desarrollan metodologías de ataque cada vez más complejas para infiltrarse en redes organizacionales y robar información confidencial.
Una investigación reciente realizada por investigadores de seguridad ha descubierto una campaña persistente orquestada por el Scaly Wolf Advanced Persistent Threat (APT) Group, que penetró con éxito una empresa de ingeniería rusa a través de un ataque de varias etapas cuidadosamente orquestado.
Esta campaña, que comenzó a principios de mayo de 2025, demuestra las tácticas refinadas del grupo y el enfoque persistente para obtener acceso no autorizado a secretos corporativos.
El ataque comenzó con un vector familiar pero efectivo: correos electrónicos de phishing que contienen documentos PDF maliciosos y archivos postales protegidos con contraseña.
El señuelo PDF y el archivo zip adjunto a uno de los correos electrónicos (fuente – Dr.Web)
Estos documentos financieros aparentemente inocuos sirvieron como puerta de entrada inicial para que los actores de amenaza establezcan su punto de apoyo dentro de la organización objetivo.
La compañía de ingeniería se convirtió en víctima de una operación sofisticada que abarcaría varias semanas, comprometiendo múltiples sistemas dentro de su infraestructura de red.
Los actores maliciosos emplearon técnicas de ingeniería social disfrazando archivos ejecutables con extensiones dobles (.pdf.exe), explotando el comportamiento predeterminado de Windows de ocultar extensiones de archivos para engañar a las posibles víctimas.
Dr.Web Analistas identificado El ataque como el trabajo del grupo de lobo escamosa a través de artefactos distintivos que se encuentran dentro de las muestras de malware.
Cadena de ataque (Fuente – Dr.Web)
Los investigadores señalaron que esta campaña representaba una evolución significativa en las tácticas del grupo, incorporando herramientas desarrolladas a medida y servicios administrativos legítimos para mantener la persistencia y evitar la detección.
La investigación reveló que los actores de amenaza habían refinado su enfoque desde campañas anteriores, abandonando troyanos de malware como servicio a favor de su sistema modular de puerta trasera modular.
El vector de infección primario implicó el despliegue de Trojan.updatar.1, que posteriormente descargó componentes adicionales, incluidos Trojan.updatar.2 y Trojan.updatar.3.
Los atacantes también aprovecharon herramientas legítimas, como el marco de metasploit, las tareas de servicio BIT y los protocolos de escritorio remotos para establecer la persistencia y realizar un movimiento lateral en la red comprometida.
Ofuscación de Rockyou: una nueva técnica de evasión
Lo que distingue a esta variante particular es su implementación de lo que los analistas del Dr.Web han denominado “ofuscación de Rockyou”, una técnica sofisticada que complica significativamente los esfuerzos de análisis de malware.
Este método implica la inicialización continua de cadenas del infame diccionario de contraseña Rockyou.txt, que contiene más de 30 millones de contraseñas de uso común compilados a partir de violaciones de datos históricos.
El troyano realiza varias operaciones en estas cadenas de diccionario que no afectan la funcionalidad central del malware, creando una cortina de humo efectiva que oscurece el verdadero propósito del código malicioso.
Mientras tanto, las cadenas directamente relacionadas con la funcionalidad operativa del malware se codifican utilizando operaciones XOR combinadas con pequeñas manipulaciones de compensación:–
// cadenas Rockyou utilizadas para la obfuscación char dummy_strings () = {“contraseña123”, “Qwerty”, “LetMein”}; // Las cadenas maliciosas reales son Char codificadas con XOR encodeD_PayLoad (256); xor_decode (encoded_payload, random_key, small_offset);
Las claves de cifrado tanto para las operaciones de XOR como para los valores de desplazamiento se aleatorizan para cada muestra de Trojan.updatar.1, asegurando que los métodos de detección basados en firmas se vuelvan significativamente menos efectivos.
Esta técnica de ofuscación representa una adaptación inteligente de los recursos de pruebas de seguridad legítimos para fines maliciosos, lo que demuestra cómo los actores de amenaza continúan innovando sus técnicas de evasión mientras aprovechan los conjuntos de datos disponibles públicamente originalmente destinados a operaciones defensivas de ciberseguridad.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
