Los investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera basada en Rust llamada Chaos Bot que puede permitir a los operadores realizar reconocimientos y ejecutar comandos arbitrarios en los servidores comprometidos.
«Los atacantes aprovecharon las credenciales comprometidas que se asignaban tanto a Cisco VPN como a una cuenta de Active Directory con privilegios excesivos denominada 'cuenta de servicio'», eSentire dijo en un informe técnico publicado la semana pasada. «Al utilizar la cuenta comprometida, utilizaron WMI para ejecutar comandos remotos en todos los sistemas de la red, lo que facilitó el despliegue y la ejecución de ChaosBot».
La empresa canadiense de ciberseguridad dijo que detectó el malware por primera vez a finales de septiembre de 2025 en el entorno de un cliente de servicios financieros.
Chaos Bot destaca por su abuso de Discord para el comando y el control (C2). Recibe su nombre de un perfil de Discord mantenido por el autor de la amenaza que lo respalda, que usa el apodo en Internet de «chaos_00019» y es responsable de enviar comandos remotos a los dispositivos infectados. Una segunda cuenta de usuario de Discord asociada a las operaciones de C2 es lovebb0024.
Alternativamente, también se ha observado que el malware se basa en mensajes de suplantación de identidad que contienen un archivo malicioso de acceso directo de Windows (LNK) como vector de distribución. Si el destinatario del mensaje abre el archivo LNK, se ejecuta un comando de PowerShell para descargar y ejecutar ChaosBot, mientras que, como mecanismo de distracción, se muestra un PDF señuelo disfrazado de correspondencia legítima del Banco Estatal de Vietnam.
La carga útil es una DLL malintencionada (» msedge_elf.dll «) que se descarga de forma lateral mediante el binario de Microsoft Edge denominado" identity_helper.exe», tras lo cual realiza un reconocimiento del sistema y descarga un proxy inverso rápido ( FRP ) para abrir un proxy inverso en la red y mantener un acceso persistente a la red comprometida.
También se ha descubierto que los actores de amenazas aprovechan el malware para configurar sin éxito un Túnel de código de Visual Studio servicio que actuará como una puerta trasera adicional para habilitar las funciones de ejecución de comandos. Sin embargo, la función principal del malware es interactuar con un canal de Discord creado por el operador con el nombre de la computadora de la víctima para recibir más instrucciones.
Algunos de los comandos compatibles se enumeran a continuación:
- shell, para ejecutar comandos de shell a través de PowerShell
- scr, para capturar capturas de pantalla
- descargar, para descargar archivos al dispositivo de la víctima
- subir, para subir un archivo al canal Discord
«Las nuevas variantes de ChaosBot utilizan técnicas de evasión para eludir ETW [Event Tracking para Windows] y máquinas virtuales», afirma eSentire.
«¡La primera técnica consiste en parchear las primeras instrucciones de nt.dll! etwEventWrite (xor eax, eax -> ret). La segunda técnica compara las direcciones MAC del sistema con los prefijos conocidos de direcciones MAC de máquinas virtuales para VMware y VirtualBox. Si se encuentra una coincidencia, el malware desaparece».
Chaos Ransomware adquiere funciones destructivas y de secuestro de portapapeles
La revelación llega Fortinet FortiGuard Labs detalló una nueva variante de ransomware de Caos escrito en C++, que introduce nuevas capacidades destructivas para eliminar irrevocablemente archivos grandes en lugar de cifrarlos y manipular el contenido del portapapeles mediante el intercambio de direcciones de Bitcoin con una billetera controlada por un atacante para redirigir las transferencias de criptomonedas.
«Esta doble estrategia de cifrado destructivo y robo financiero encubierto subraya la transición de Chaos a una amenaza más agresiva y multifacética diseñada para maximizar las ganancias financieras», dijo la compañía dijo .
Al incorporar tácticas de extorsión destructivas y el secuestro de portapapeles para robar criptomonedas, los atacantes pretenden posicionar al ransomware Chaos-C++ como una potente herramienta que no solo puede cifrar archivos, sino también eliminar el contenido de cualquier archivo de más de 1,3 GB y facilitar el fraude financiero.
El Chaos-C++ El descargador de ransomware se hace pasar por utilidades falsas como System Optimizer v2.1 para engañar a los usuarios para que las instalen. Vale la pena mencionar aquí que las versiones anteriores del ransomware Chaos, como Lucky_gh0$t, fueron repartido bajo la apariencia de OpenAI ChatGPT e InVideo AI.
Una vez lanzado, el malware comprueba la presencia de un archivo llamado «%APPDATA%\ READ_IT.txt», lo que indica que el ransomware ya se ha ejecutado en la máquina. Si el archivo existe, entra en lo que se denomina un modo de supervisión para controlar el portapapeles del sistema.
En caso de que el archivo no esté presente, Chaos-C++ comprueba si se está ejecutando con privilegios administrativos y, de ser así, ejecuta una serie de comandos para impedir la recuperación del sistema y, a continuación, inicia el proceso de cifrado para cifrar completamente los archivos de menos de 50 MB, omitiendo aquellos con un tamaño de archivo de entre 50 MB y 1,3 GB, presumiblemente por motivos de eficiencia.
«En lugar de confiar únicamente en el cifrado completo de archivos, Chaos-C++ emplea una combinación de métodos, incluido el cifrado simétrico o asimétrico y una rutina XOR alternativa», afirma Fortinet. «Su versátil descargador también garantiza una ejecución exitosa. En conjunto, estos enfoques hacen que la ejecución del ransomware sea más sólida y más difícil de interrumpir».