Site icon Sophos News

La extraña historia de ischhfd83: cuando los ciberdelincuentes se enfrentan entre sí

  • Sophos Iberia
    • Damp black stone walls leading to a wooden door

    En Sophos X-Ops, a menudo recibimos consultas de nuestros clientes que nos preguntan si están protegidos contra determinadas variantes de malware. A primera vista, una pregunta reciente no parecía diferente. Un cliente quería saber si teníamos protecciones para «Sakura RAT», un proyecto de malware de código abierto alojado en GitHub, debido a las afirmaciones de los medios de comunicación de que tenía «sofisticadas capacidades de antidetección».

    Cuando investigamos Sakura RAT, nos dimos cuenta rápidamente de dos cosas. En primer lugar, el RAT en sí mismo probablemente no suponía una gran amenaza para nuestros clientes. En segundo lugar, aunque el repositorio contenía código malicioso, este estaba destinado a atacar a las personas que compilaban el RAT, con infostealers y otros RAT. En otras palabras, Sakura RAT era una puerta trasera.

    Dadas nuestras exploraciones previas del nicho de los actores maliciosos que se atacan entre sí, decidimos investigar más a fondo, y ahí es donde las cosas se pusieron raras. Encontramos una conexión entre el «desarrollador» de Sakura RAT y más de un centenar de repositorios con puertas traseras, algunos de los cuales pretendían ser malware y herramientas de ataque, y otros trucos para videojuegos.

    Cuando analizamos las puertas traseras, acabamos en un laberinto de ofuscación, cadenas de infección enrevesadas, identificadores y múltiples variantes de puertas traseras. La conclusión es que un actor malicioso está creando repositorios con puertas traseras a gran escala, dirigidos principalmente a tramposos de videojuegos y actores maliciosos sin experiencia, y es probable que lleve haciéndolo desde hace tiempo.

    Nuestra investigación sugiere una conexión con una operación de distribución como servicio de la que ya se informó en 2024-2025, pero que podría haber existido de alguna forma ya en 2022.

    Hemos informado a GitHub de todos los repositorios con puertas traseras que seguían activos en el momento de nuestra investigación, así como de un repositorio que alojaba un archivo 7z malicioso. También nos hemos puesto en contacto con los propietarios/operadores de los sitios de pegado relevantes que alojaban código malicioso ofuscado. En el momento de redactar este informe, el repositorio que alojaba el archivo 7z malicioso, la gran mayoría de los repositorios con puertas traseras y muchos de los sitios de pegados maliciosos ya han sido eliminados.

    Lee el artículo completo en inglés.

    Exit mobile version