Implementar el sigiloso desinfectado Troyano de acceso remoto de uñas (rata) en una sofisticada campaña de Cyberepion que aprovecha los scripts de consola de gestión de Microsoft (MMC) maliciosas.
CVE-2021-40449 ratas MysterySnail, identificadas por primera vez en 2021 durante una investigación sobre la vulnerabilidad del día cero, parecía haber desaparecido del panorama de amenazas cibernéticas.
El malware, que se deriva de un actor de amenaza de habla china conocido como Ironhusky, que ha estado operando desde al menos 2017, permanece aparentemente activo, pero no se ha detectado durante años.
“No se han reportado los implantes, pero se ha descubierto que se usan activamente en los ataques cibernéticos en los últimos años”, dijo Kaspersky.
Cadena de infección sofisticada
El ataque comienza con un guión MMC malicioso que disfraza los documentos de la Agencia Nacional de Tierras de Mongolia (ALAMGAC). Esta táctica de ingeniería social aumenta la probabilidad de que el gobierno apunte a abrir archivos disfrazados.
Cuando se ejecuta, el script inicia un proceso de infección en varias etapas. Primero, obtenga un archivo zip que contenga dos etapas de carga útil y archivos DOCX legítimos del archivo (.) IO Storage.
El archivo se extrae a un directorio específico: %AppData %\ Cisco \ Plugins \ x86 \ bin \ etc \ Update
Se lanza un ejecutable legítimo (ciscocollabhost.exe) y la biblioteca maliciosa (CiscosSparklauncher.dll) se carga a través de DLL Sideload.
Además, la persistencia se establece a través de enmiendas al registro, abriendo documentos de señuelo y no aumenta la duda.
Los investigadores han identificado los innovadores posibles intermedios que se comunican con los servidores de comando y control (C2) al abusar de los proyectos de servidores de plomería de código abierto.
En una técnica inusual de antianálisis, la intervalora almacena la información de la función de la API de Windows en un archivo externo (log \ myfc.log) que está encriptado con un XOR de byte único y se carga en tiempo de ejecución.
La puerta trasera se comunica con https://ppng.io y recibe comandos como este:
RCOMM: ejecuta un shell de comando. FSEND: Descargue el archivo de C2. FRECV: Sube el archivo a C2. FEXEC: Crea un nuevo proceso. Fdele: elimina el archivo.
La rata evolucionada de misterio
Las últimas versiones mantienen la persistencia como un servicio y utilizan tecnología de cifrado sofisticada. Esa DLL maliciosa carga la carga útil encriptada del archivo en adcition.dat con rc4 y xor conectado, y utiliza la carga reflectante a través de DLL hueco usando la biblioteca Run_PE.
La comunicación se ha observado en múltiples dominios de control de atacantes, incluidos Watch-SMCSVC (.) Com y Leotolstoys (.) Com.
A diferencia de su predecesor de 2021, que implementó alrededor de 40 comandos en un solo componente, el nuevo MysterySnail emplea una arquitectura modular que descarga cinco DLL especializadas en tiempo de ejecución.
BasicMod.dll: maneja listas de accionamiento, deleciones de archivos y huellas digitales del sistema. ExplorMoudledll.dll: administra lecturas de archivos, administración de servicios y creación de procesos. Process.dll: enumere y salga de los procesos de ejecución. Cmd.dll: crea procesos y shells de comandos. Tcptran.dll: administrar conexiones de red.
Los investigadores también descubrieron una variante liviana llamada “MysteryMonosnail”, que se comunica a través del protocolo WebSocket en lugar de HTTP, proporcionando la funcionalidad reducida con solo 13 comandos básicos.
Esta reaparición subraya la importancia de mantener la vigilancia contra las amenazas inactivas.
“Es importante considerar que las familias de malware mayores que no han sido reportadas durante muchos años pueden continuar operando bajo radar mientras realizan actividades de caza de amenazas”, advierten los investigadores.
El caso MysterySnail demuestra cómo los actores de amenaza pueden mantener la persistencia operativa al minimizar el malware existente, lo que les permite permanecer sin detectar durante un largo período de tiempo.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
