Los investigadores de ciberseguridad han arrojado luz sobre una nueva campaña que probablemente se haya dirigido a los sectores de la automoción y el comercio electrónico rusos con un malware de.NET previamente indocumentado denominado Puerta trasera CAPI .
De acuerdo con Laboratorios Seqrite , la cadena de ataque consiste en distribuir correos electrónicos de suplantación de identidad que contienen un archivo ZIP como forma de desencadenar la infección. El análisis de la empresa de ciberseguridad se basa en la Artefacto ZIP que se subió a la plataforma VirusTotal el 3 de octubre de 2025.
El archivo incluye un documento señuelo en ruso que pretende ser una notificación relacionada con la legislación del impuesto sobre la renta y un archivo de acceso directo de Windows (LNK).
El archivo LNK, que tiene el mismo nombre que el archivo ZIP (es decir, «еререрасееноенонононононононононононононононононононононононононононононононононононононононононононононононононононононононо adobe.dll rundll32.exe », una técnica de vivir fuera de la tierra (LoTL) conocida por ser adoptada por parte de los actores de amenazas.
La puerta trasera, señaló Seqrite, incluye funciones para comprobar si funciona con privilegios de administrador, recopilar una lista de los productos antivirus instalados y abrir el documento señuelo como una artimaña, mientras se conecta sigilosamente a un servidor remoto («91.223.75 [.] 96") para recibir más comandos para su ejecución.
Los comandos permiten a CAPI Backdoor robar datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox, tomar capturas de pantalla, recopilar información del sistema, enumerar el contenido de las carpetas y devolver los resultados al servidor.
También intenta ejecutar una larga lista de comprobaciones para determinar si se trata de un host legítimo o de una máquina virtual, y utiliza dos métodos para establecer la persistencia, incluida la configuración de una tarea programada y la creación de un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de puerta trasera copiada en la carpeta Roaming de Windows.
La evaluación de Seqrite de que el actor de la amenaza apunta al sector automovilístico ruso se debe al hecho de que uno de los dominios vinculados a la campaña se llama carprlce [.] ru, que parece hacerse pasar por el legítimo «carprice [.] ru».
«La carga maliciosa es una DLL de.NET que funciona como un ladrón y establece la persistencia para futuras actividades maliciosas», afirman los investigadores Priya Patel y Subhajeet Singha.