La aplicación de la ley en Europa y América del Norte arrestó a cinco personas asociadas con los servicios de botnet de lotería de humo como parte de la segunda fase de Operation Endgame.
La acción de seguimiento, realizada a principios de abril de 2025, específicamente dirigida a “clientes” del infame servicio de malware de pago por instalación dirigido por actores de amenaza conocidos como “superestrellas”.
Los clientes han implementado malware para sus propias operaciones ilegales utilizando el servicio. La investigación ha encontrado que se han comprado una variedad de usos para el acceso a Botnet, incluidos los keylogs, el acceso a la cámara web, la implementación de ransomware y el cifrado.
Los arrestos muestran un cambio estratégico en las tácticas de aplicación cibernética que se centran en el lado de la demanda de la economía del delito cibernético en lugar de solo la infraestructura.
Según Europol, los sospechosos fueron identificados a través de una base de datos crítica incautada a principios de la Operación Final de mayo de 2024.
“Algunos sospechosos creían que evitaban el escrutinio después del derribo 2024”, dijo un portavoz de Europol.
“En cambio, encontraron visitas inesperadas de los investigadores, pero en algunos casos fueron detenidos por preguntas”.
Técnicas de evitación de fumadores
Smokeloader se promovió por primera vez en el Foro del delito Cibernético en 2011 y se convirtió en un sofisticado malware modular con potente sostenibilidad y tecnología antianalítica.
Su característica principal es actuar como un descargador que instala silenciosamente cargas útiles adicionales en sistemas infectados, y sirve como un centro de distribución para acero calificados, ransomware y herramientas de monitoreo.
El análisis técnico reveló que la bandeja de humo emplea múltiples tecnologías evasivas, incluida la ofuscación del código, las medidas de prevención y la detección de sandbox.
El malware se comunica con el servidor de comando y control (C2) utilizando solicitudes de publicación HTTP cifradas encriptadas utilizando el algoritmo RC4.
Europol describió la operación de fines del juego temprano en mayo de 2024 como “la operación más grande en una botnet”, lo que resulta en cuatro arrestos, más de 100 derribos de servidores en 10 países y más de 2,000 dominios incautando.
Esta operación ha destruido significativamente la infraestructura de varias familias de malware importantes, incluidas ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot.
A pesar de este éxito, los grupos de amenazas todavía usaban Smokeloader con una nueva infraestructura C2, principalmente debido a las versiones agrietadas disponibles en Internet.
Ataques recientes que utilizan organizaciones objetivo de Smokeloader en los sectores de fabricación, atención médica y TI de Taiwán, lo que demuestra la amenaza continua de malware.
En la segunda fase del final del juego, los investigadores encontraron que varios sospechosos revenden el acceso a las máquinas que fueron violadas por el aumento de los precios, operando efectivamente el crimen a nivel micro como servicio.
Cuando se les pregunta, varios sospechosos eligen cooperar y proporcionar a las autoridades acceso a dispositivos personales que incluyen evidencia valiosa sobre redes de entrega y cargas útiles de malware.
Europol ha lanzado su portal público (Operation-endgame (.) Com). Aquí, las personas pueden proporcionar consejos y ver si actualmente están investigando.
La agencia ha dejado en claro que se espera una mayor acción de cumplimiento para las personas involucradas en actividades similares, y que la operación del final del juego está en curso.
Los investigadores de seguridad están diseñados para responder a las amenazas continuas mediante el desarrollo de herramientas como Smokebuster y Detect, analizan y eliminan las infecciones por Smokeloader de los sistemas comprometidos.
A medida que evolucionan las tácticas del cibercrimen, esta operación demuestra el compromiso de la aplicación de la ley de perseguir no solo a los proveedores de infraestructura sino a los clientes que financian y usan estos servicios criminales.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
