Boletín Semanal de Ciberseguridad, 11-15 agosto

15 de agosto de 2025

UAC-0099 perfecciona su arsenal y mantiene TTPs de ciberespionaje en campañas contra Ucrania

UAC-0099 es un actor de amenazas activo desde 2022, centrado en el ciberespionaje contra organismos gubernamentales, militares y del sector defensa en Ucrania. En 2023 empleó el loader PowerShell LONEPAGE distribuido mediante spear-phishing con adjuntos maliciosos, desplegando herramientas como THUMBCHOP, CLOGFLAG y utilidades TOR/SSH.

En 2024 mantuvo el vector de correo, incorporó la explotación de la vulnerabilidad CVE-2023-38831 (CVSSv3 7.8, según CISA) en WinRAR y adoptó un loader LONEPAGE en dos etapas con cifrado 3DES para evadir detección, continuando el abuso de servicios en la nube para C2. En 2025 sustituyó LONEPAGE por un nuevo toolkit en C# (MATCHBOIL, MATCHWOK y DRAGSTARE), con cadenas de infección más complejas basadas en tareas programadas y cargas persistentes.

Pese a los cambios técnicos, mantuvo TTPs clave: phishing dirigido, scripts ofuscados, persistencia mediante tareas o claves de registro y robo de datos.

Más info

Análisis del malware SoupDealer

Investigadores de Malwation han analizado SoupDealer, un malware loader de carga sigilosa escrito en Java que se ejecuta en una cadena de tres etapas con un alto grado de ofuscación, persistencia de tareas programadas y recuperación de componentes basada en TOR, incluyendo comprobaciones del entorno para configuraciones regionales de Windows en turco.

Se distribuye a través de campañas de phishing en los archivos TEKLIFALINACAKURUNLER.jar y FIYATTEKLIFI.jar, y descarga y ejecuta variantes de Adwind/Eclipse RAT capaces de ejecutar comandos remotos, capturar pantallas, realizar movimientos laterales y evadir antivirus.

Aunque no se ha vinculado públicamente a ningún actor malicioso específico, las campañas se han dirigido a bancos, proveedores de servicios de Internet y medianas empresas en Turquía. Las defensas recomendadas incluyen desactivar Java y las macros en los correos electrónicos, implementar filtros de URL/DNS, segmentar las redes, mantener actualizadas las soluciones EDR y mejorar la formación de los usuarios en materia de concienciación.

Más info

Efimer: troyano multipropósito que combina robo de criptomonedas y expansión web

En junio de 2025, se detectó una campaña masiva que distribuía el troyano Efimer, diseñado para robar criptomonedas y expandirse mediante sitios WordPress comprometidos, torrents maliciosos y correos electrónicos de phishing. Los mensajes se hacían pasar por abogados que denunciaban supuestas infracciones de marca, adjuntando archivos que instalaban el malware.

Efimer funciona como un ClipBanker, sustituyendo direcciones de monederos en el portapapeles y robando frases semilla, comunicándose con su servidor C2 a través de Tor. Incluye módulos adicionales para fuerza bruta de WordPress, recolección de direcciones de correo y distribución de spam.

Algunas variantes amplían el robo a monederos de Tron y Solana, además de Bitcoin, Ethereum y Monero. Entre octubre de 2024 y julio de 2025 afectó a más de 5.000 usuarios, con mayor impacto en Brasil, India y España.

Más info

Cmimai Stealer: infostealer VBS que exfiltra datos y capturas de pantalla vía Discord

K7 Labs ha analizado Cmimai Stealer, un infostealer en Visual Basic Script detectado desde junio de 2025 que emplea PowerShell y scripting nativo de Windows para recopilar información del sistema, metadatos de perfiles de Chrome/Edge y capturas de pantalla. La peculiaridad de la campaña es que los datos se envían a través de webhooks de Discord.

El malware crea al menos dos scripts temporales (vbs_ps_browser.ps1 y vbs_ps_diag.ps1) que usa para leer la configuración de perfiles y claves cifradas en navegadores, y para capturar la pantalla y comprimir la imagen antes de subirla respectivamente, ejecutando un ciclo persistente cada hora para actualizar la información.

Entre los patrones de comportamiento a monitorizar se encuentra la ejecución de powershell.exe, la creación de archivos temporales con prefijo vbs_ o el tráfico HTTPS hacia Discord con User-Agent “Cmimai Stealer VBS UI Rev”.

Más info

Plataforma MaaS de CastleBot MaaS utilizada en campañas masivas de ransomware

IBM X-Force ha identificado CastleBot, un framework de Malware-as-a-Service activo desde principios de 2025 que distribuye múltiples cargas útiles, desde infostealers hasta backdoors vinculados a ransomware como WarmCookie y NetSupport. Su arquitectura en tres fases emplea stagers y loaders con cifrado ChaCha y técnicas de evasión EDR, incluyendo manipulación de PEB_LDR_DATA y process injection avanzada (QueueUserAPC, NtManageHotPatch).

La distribución inicial se realiza mediante instaladores troyanizados, SEO poisoning, repositorios de GitHub falsos y la técnica ClickFix. Las campañas analizadas desplegaron cadenas con múltiples malware (Rhadamanthys, Remcos, DeerStealer, SecTopRAT, HijackLoader, MonsterV2) usando DLL sideloading y archivos ZIP maliciosos. Las recomendaciones incluyen reforzar EDR, bloquear tráfico saliente no HTTPS, aplicar MFA y formar a usuarios para evitar descargas no verificadas.

Más info