Un actor de amenazas llamado Detour Dog ha sido denunciado por impulsar campañas de distribución de un ladrón de información conocido como Strela Stealer.
Eso es según los hallazgos de Infoblox, que descubrió que el actor de la amenaza mantenía el control de los dominios que alojaban la primera etapa del ladrón, una puerta trasera llamada StarFish.
La firma de inteligencia de amenazas de DNS dijo que ha estado rastreando a Detour Dog desde agosto de 2023, cuando Sucuri, propiedad de GoDaddy divulgado detalles de los ataques dirigidos a sitios de WordPress para incrustar JavaScript malintencionado que utilizaba Registros DNS TXT como canal de comunicación para un sistema de distribución de tráfico (TDS), que redirige a los visitantes del sitio a sitios incompletos y a programas maliciosos. Las huellas del autor de la amenaza se remontan a febrero de 2020.
«Si bien tradicionalmente estos redireccionamientos conducían a estafas, el malware ha evolucionado recientemente para ejecutar contenido remoto a través del sistema de comando y control (C2) basado en DNS», dijo Infoblox dijo . «Estamos rastreando al actor de amenazas que controla este malware como Detour Dog».
La infraestructura propiedad de Detour Dog, según la empresa, se ha utilizado para albergar StarFish, un simple caparazón inverso que sirve de conducto para Strela Stealer. En un informe publicado en julio de 2025, IBM X-Force afirmó que la puerta trasera se entrega mediante archivos SVG maliciosos con el objetivo de permitir el acceso persistente a las máquinas infectadas.
Colmena 0145 , el actor de amenazas exclusivamente detrás Strela Stealer lleva haciendo campaña al menos desde 2022, se considera que tiene motivaciones financieras y es probable que opere como un intermediario de acceso inicial (IAB), adquiriendo y vendiendo el acceso a sistemas comprometidos con fines de lucro.
El análisis de Infoblox ha revelado que al menos el 69% de los anfitriones confirmados de StarFish estaban bajo el control de Detour Dog, y que una botnet MikroTik anunciada como REM Proxy, que, a su vez, funciona con SystemBC, como descubierto de Black Lotus Labs de Lumen el mes pasado, también formó parte de la cadena de ataques.
En concreto, ha salido a la luz que los mensajes de correo no deseado que distribuían Strela Stealer procedían de REM Proxy y de otra red de bots denominada Tofsee, esta última propagada a través de un cargador basado en C++ llamado Cargador privado en el pasado. En ambos casos, la infraestructura de Detour Dog albergó la primera fase del ataque.
«Las botnets se contrataron para entregar los mensajes de spam y Detour Dog para entregar el malware», dijo a The Hacker News la Dra. Renée Burton, vicepresidenta de inteligencia de amenazas de Infoblox.
Además, se ha descubierto que Detour Dog facilita la distribución del ladrón a través de registros DNS TXT, ya que los servidores de nombres DNS controlados por los actores de amenazas se modifican para analizar las consultas de DNS con un formato especial de los sitios comprometidos y responder a ellas con comandos de ejecución remota de código.
El modus operandi de Detour Dog a la hora de adquirir nueva infraestructura es explotando sitios vulnerables de WordPress para realizar inyecciones de código malicioso, aunque la empresa afirma que los métodos han seguido evolucionando desde entonces.
Un aspecto notable del ataque es que el sitio web comprometido funciona normalmente el 90% del tiempo, por lo que no genera señales de alerta y permite que el malware persista durante largos períodos de tiempo. Sin embargo, en algunos casos (alrededor del 9%), un visitante del sitio es redirigido a una estafa a través de Ayuda a TDS o Monetizer TDS; en un escenario mucho más raro (1%), el sitio recibe un comando de ejecución remota de archivos. Se cree que las redirecciones son limitadas para evitar ser detectadas.
El desarrollo marca la primera vez que Detour Dog es visto distribuyendo malware, un cambio de actuar como una entidad responsable de reenviar exclusivamente el tráfico a Los Pollos, una empresa de tecnología publicitaria maliciosa que opera bajo el VexTrio Víbora paraguas.
«Sospechamos que pasaron de ser estafas a incluir la distribución de malware por motivos financieros», dijo Burton. «Durante los últimos 12 a 18 meses, la industria de la seguridad se ha centrado mucho en detener el tipo de estafas que Detour Dog ha apoyado en el pasado. Creemos que estaban ganando menos dinero, aunque no podemos verificarlo».
Como complemento de estos cambios está el hecho de que el malware para sitios web utilizado por Detour Dog ha experimentado una evolución propia, ya que ha adquirido la capacidad de ordenar a los sitios web infectados que ejecuten código desde servidores remotos.
A partir de junio de 2025, las respuestas indicaban al sitio infectado que recuperara la salida de los scripts PHP de los servidores Strela Stealer C2 verificados para distribuir probablemente el malware, lo que sugiere el doble uso del DNS como canal de comunicación y mecanismo de entrega.
«Las respuestas a las consultas de registros TXT están codificadas en Base64 e incluyen explícitamente la palabra 'abajo' para activar esta nueva acción», señaló la empresa. «Creemos que esto ha creado un nuevo modelo de distribución de malware en red mediante DNS, en el que las distintas etapas se obtienen de diferentes servidores bajo el control del autor de la amenaza y se retransmiten cuando el usuario interactúa con el cebo de la campaña (por ejemplo, el archivo adjunto de un correo electrónico).
«Una configuración novedosa como esta permitiría a un atacante ocultar su identidad detrás de sitios web comprometidos, lo que haría que sus operaciones fueran más resilientes y, al mismo tiempo, serviría para engañar a los cazadores de amenazas, ya que el malware no se encuentra realmente donde los archivos adjuntos analizados indican que está alojado el escenario».
Toda la secuencia de acciones se desarrolla de la siguiente manera -
- La víctima abre un documento malicioso y lanza un archivo SVG que llega a un dominio infectado
- El sitio comprometido envía una solicitud de registro TXT al servidor Detour Dog C2 a través de DNS
- El servidor de nombres responde con un registro TXT que contiene una URL de Strela C2 con el prefijo «down»
- El sitio comprometido elimina el prefijo down y usa curl para, posiblemente, buscar el descargador de StarFish desde la URL.
- El sitio comprometido actúa como un transmisor para enviar el descargador al cliente (es decir, a la víctima)
- El descargador inicia una llamada a otro dominio comprometido
- El segundo dominio comprometido envía una consulta DNS TXT similar al servidor Detour Dog C2
- El servidor de nombres de Detour Dog responde con una nueva URL de Strela C2, nuevamente con el prefijo «down»
- El segundo dominio comprometido elimina el prefijo y envía una solicitud curl al servidor Strela C2 para buscar StarFish.
- El segundo dominio comprometido actúa como un transmisor para enviar el malware al cliente (es decir, a la víctima)
Infoblox dijo que trabajó con la Fundación Shadowserver para hundir dos de los dominios C2 de Detour Dog (webdmonitor [.] io y aeroarrows [.] io) el 30 de julio y el 6 de agosto de 2025.
La empresa también señaló que es probable que el actor de la amenaza funcione como una distribución como servicio ( DaaS ), y agregó que encontró evidencia de un «archivo aparentemente no relacionado» que se propagó a través de su infraestructura. Sin embargo, señaló que «no pudo validar lo que se entregó».