Las organizaciones gubernamentales, financieras e industriales ubicadas en Asia, África y América Latina son el objetivo de una nueva campaña denominada Neurona pasiva , según conclusiones de Kaspersky.
La actividad de ciberespionaje fue marcado por primera vez realizado por el proveedor ruso de ciberseguridad en noviembre de 2024, cuando reveló una serie de ataques dirigidos a entidades gubernamentales en América Latina y Asia Oriental en junio, utilizando familias de malware nunca antes vistas rastreadas como Neursite y NeuralExecutor.
También describió la operación como una muestra de un alto nivel de sofisticación, ya que los actores de amenazas aprovecharon los servidores internos ya comprometidos como una infraestructura intermedia de comando y control (C2) para pasar desapercibida.
«El actor de la amenaza puede moverse lateralmente a través de la infraestructura y extraer datos, creando opcionalmente redes virtuales que permiten a los atacantes robar archivos de interés incluso de máquinas aisladas de Internet», señaló Kaspersky en ese momento. «Un enfoque basado en complementos proporciona una adaptación dinámica a las necesidades del atacante».
Desde entonces, la compañía dijo que había observado una nueva ola de infecciones relacionadas con PassiveNeuron desde diciembre de 2024 y que continuó hasta agosto de 2025. Sin embargo, la campaña sigue sin atribuirse a nadie por el momento algunos señales apuntan a que es obra de actores de amenazas de habla china.
En al menos un incidente, se dice que el adversario obtuvo capacidades iniciales de ejecución remota de comandos en una máquina comprometida que ejecutaba Windows Server a través de Microsoft SQL. Si bien no se conoce el método exacto por el que se consigue esto, es posible que los atacantes estén introduciendo por fuerza bruta la contraseña de la cuenta de administración, aprovechándose de una falla de inserción de SQL en una aplicación que se ejecuta en el servidor o de una vulnerabilidad aún no determinada en el propio software del servidor.
Independientemente del método utilizado, los atacantes intentaron implementar un shell web ASPX para obtener capacidades básicas de ejecución de comandos. Al fracasar estos esfuerzos, la intrusión fue testigo de la entrega de implantes avanzados a través de una serie de cargadores de archivos DLL ubicados en el directorio System32. Entre ellos se incluyen:
- Neurosita , una puerta trasera modular de C++ a medida
- Ejecutor neuronal , un implante de.NET personalizado que se utiliza para descargar cargas útiles de.NET adicionales a través de TCP, HTTP/HTTPS, canalizaciones con nombre o WebSockets y ejecutarlas
- Cobalt Strike , una herramienta legítima de simulación de adversarios
Neursite utiliza una configuración integrada para conectarse al servidor C2 y utiliza los protocolos TCP, SSL, HTTP y HTTPS para las comunicaciones. De forma predeterminada, admite la capacidad de recopilar información del sistema, gestionar los procesos en ejecución y enviar por proxy el tráfico a través de otras máquinas infectadas por la puerta trasera para permitir el movimiento lateral.
El malware también viene equipado con un componente para buscar complementos auxiliares para ejecutar comandos de shell, administrar el sistema de archivos y realizar operaciones de socket TCP.
Kaspersky también señaló que las variantes de NeuralExecutor detectadas en 2024 se diseñaron para recuperar las direcciones del servidor C2 directamente de la configuración, mientras que los artefactos encontrados este año llegan a un repositorio de GitHub para obtener la dirección del servidor C2, una técnica denominada técnica de resolución sin salida.
«La campaña PassiveNeuron se ha distinguido por la forma en que se dirige principalmente a las máquinas de servidores», dijeron los investigadores Georgy Kucherin y Saurabh Sharma. «Estos servidores, especialmente los que están expuestos a Internet, suelen ser objetivos lucrativos para [las amenazas persistentes avanzadas], ya que pueden servir como puntos de acceso a las organizaciones objetivo».