Los usuarios de habla china son el objetivo de una campaña de envenenamiento por optimización de motores de búsqueda (SEO) que utiliza sitios de software falsos para distribuir malware.
«Los atacantes manipularon las clasificaciones de búsqueda con complementos de SEO y registraron dominios similares que imitaban de cerca los sitios de software legítimos», dijo Pei Han Liao, investigador de Fortinet FortiGuard Labs dijo . «Mediante el uso de un lenguaje convincente y la sustitución de caracteres pequeños, engañaron a las víctimas para que visitaran páginas falsas y descargaran malware».
La actividad, que fue descubierta por la empresa de ciberseguridad en agosto de 2025, conduce al despliegue de familias de malware como Hiddengh0st y Winos (también conocido como ValleyRAT), ambas variantes de un troyano de acceso remoto llamado Gh0st RAT.
Vale la pena señalar que el uso de Winos se ha atribuido a un grupo de ciberdelincuencia conocido como Zorro plateado , que también aparece como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne. Se cree que está activo al menos desde 2022.
En la última cadena de ataques documentada por Fortinet, los usuarios que buscan herramientas como DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp y WPS Office en Google son redirigidos a sitios falsos para activar la entrega del malware mediante instaladores troyanos.
«Un script llamado nice.js controla el proceso de entrega de malware en estos sitios», explicó Fortinet. «El script sigue una cadena de varios pasos: primero llama a un enlace de descarga que devuelve datos JSON, que incluyen un enlace secundario. A continuación, ese enlace secundario lleva a otra respuesta de JSON que contiene un enlace que redirige a la URL final del instalador malintencionado».
En el instalador hay una DLL malintencionada (» EnumW.dll «) que lleva a cabo varias comprobaciones antianálisis para eludir la detección, incluida la extracción de otra DLL (» vstdlib.dll «) para sobrecargar las herramientas de análisis al aumentar el uso de la memoria y reducir su rendimiento.
La segunda DLL también está diseñada para desempaquetar y lanzar la carga útil principal, pero no sin antes comprobar la presencia del software antivirus 360 Total Security en el host comprometido. Si está presente, el malware utiliza una técnica denominada Secuestro de COM de TypeLib para configurar la persistencia y, en última instancia, lanzar un ejecutable de Windows (» insalivation.exe «)
En el caso de que el software antivirus no esté instalado en el host, la persistencia se logra creando un acceso directo de Windows que apunta al mismo ejecutable. El objetivo final de la infección es descargar una DLL (» AIDE.dll «) que inicia tres funciones principales:
- Comando y control (C2), para establecer la comunicación con un servidor remoto e intercambiar datos en un formato cifrado
- Heartbeat, para recopilar datos del sistema y de las víctimas y enumerar los procesos en ejecución comparándolos con una lista codificada de productos de seguridad
- Supervise para evaluar el entorno de la víctima para confirmar la persistencia, rastrear la actividad del usuario y enviar una señal al servidor C2
El módulo C2 también admite comandos para descargar complementos adicionales, registrar las pulsaciones de teclas y los datos del portapapeles, e incluso secuestrar carteras de criptomonedas asociadas a Ethereum y Tether. Algunos de los complementos identificados son capaces de controlar la pantalla de la víctima y han sido identificados previamente como parte del marco WinOS.
«Los instaladores contenían tanto la aplicación legítima como la carga maliciosa, lo que dificultaba que los usuarios detectaran la infección», afirma Fortinet. «Incluso los resultados de búsqueda más altos se utilizaron como arma de este modo, lo que subraya la importancia de inspeccionar cuidadosamente los nombres de dominio antes de descargar software».
Los hablantes de chino son blanco de una trifecta de malware, incluido el nuevo KKrat
El desarrollo se produce cuando Zscaler ThreatLabZ lanzó otra campaña, también dirigida a usuarios de habla china, con un malware previamente indocumentado llamado KKrat desde principios de mayo de 2025, junto con Winos y Rata fatal .
KKrat «comparte similitudes de código con Gh0st RAT y Big Bad Wolf (), un RAT que suelen aprovechar los ciberdelincuentes con sede en China», dijo Muhammed Irfan V A, investigador de Zscaler dijo .
«KKrat emplea un protocolo de comunicación de red similar a Ghost RAT, con una capa de cifrado adicional después de la compresión de los datos. Las características del RAT incluyen la manipulación del portapapeles para reemplazar las direcciones de criptomonedas y el despliegue de herramientas de monitoreo remoto (por ejemplo, Sunlogin, GoToHttp)».
Al igual que la actividad antes mencionada, la campaña de ataque utiliza páginas de instalación falsas que imitan software popular como DingTalk para entregar los tres troyanos. Los sitios de suplantación de identidad están alojados en páginas de GitHub, lo que permite a los delincuentes abusar de la confianza que genera una plataforma legítima de distribución de malware. El Cuenta de GitHub utilizado para implementar las páginas ya no está disponible.
Una vez lanzado por la víctima, el instalador alojado en los sitios ejecuta una serie de comprobaciones para identificar los entornos sandbox y las máquinas virtuales (VM), así como para eludir el software de seguridad. También solicita privilegios de administrador que, si se le conceden, le permiten enumerar y deshabilitar temporalmente todos los adaptadores de red activos, lo que interfiere de manera efectiva con el funcionamiento normal de los programas antivirus.
Otro aspecto destacable del malware es el uso de la técnica Bring Your Own Vulnerable Driver (BYOVD) para desarmar el software antivirus instalado en el host mediante la reutilización del código del EDR cegadora real proyecto de código abierto. El malware busca específicamente los siguientes cinco programas:
- Suite 360 Internet Security
- Seguridad total 360
- Suite de diagnóstico del sistema HeroBravo
- Seguridad de Internet de Kingsoft
Una vez finalizados los procesos relevantes relacionados con el antivirus, el malware toma medidas para crear una tarea programada que se ejecuta con los privilegios del SISTEMA para ejecutar un script por lotes para garantizar que se eliminen automáticamente cada vez que un usuario inicie sesión en la máquina.
Además, modifica las entradas del registro de Windows para 360 Total Security con el probable objetivo de deshabilitar las comprobaciones de red. Una vez realizadas todas estas acciones, el malware procede a volver a habilitar los adaptadores de red para restaurar la conectividad de red del sistema.
La responsabilidad principal del instalador es ejecutar shellcode, el cual, a su vez, lanza otro archivo shellcode ofuscado denominado "2025.bin" desde una URL codificada. Este código de shell recién recuperado sirve para descargar un artefacto (» output.log «) que, posteriormente, accede a dos URL diferentes para obtener dos archivos ZIP:
- trx38.zip, que contiene un archivo ejecutable legítimo y una DLL malintencionada que se lanza mediante la carga lateral de DLL
- p.zip, que contiene un archivo llamado longlq.cl, que contiene la carga útil final cifrada
«Luego, el malware creará un acceso directo para el ejecutable legítimo extraído de trx38.zip, añadirá este acceso directo a la carpeta de inicio para que persista y ejecutará el ejecutable legítimo para descargar la DLL maliciosa», afirma Zscaler. «La DLL maliciosa descifra y ejecuta la carga final del archivo longlq.cl. La carga útil final de la campaña varía en función del segundo archivo ZIP que se descargue».
|
| Cadena de ataque para una campaña de malware que genera varias RAT |
Una de las tres cargas útiles es KKrat. Tras establecer una conexión de socket con el servidor C2, el malware perfila la máquina víctima y obtiene varios complementos para realizar una amplia gama de tareas de recopilación de datos -
- Captura de pantalla y simulación de las entradas del usuario, como las acciones del teclado y el ratón
- Recuperar y modificar datos del portapapeles
- Habilitar funciones de escritorio remoto, como iniciar navegadores web y terminar procesos activos
- Facilitar la ejecución remota de comandos a través de una interfaz shell
- Habilitar la administración de Windows en la pantalla
- Probar las funciones de administración de procesos, como enumerar los procesos activos y terminarlos cuando sea necesario
- Generar una lista de conexiones de red activas
- Proporcionar funciones de administración de aplicaciones, como enumerar el software instalado y desinstalar algunos específicos
- Enumerar y recuperar la lista de valores almacenados en la clave de registro de ejecución automática
- Actuar como proxy para enrutar datos entre un cliente y un servidor mediante el protocolo SOCKS5
Además de estos complementos, KKrat ofrece soporte para una larga lista de comandos para invocar los complementos; funcionan como cortapelos sustituyendo las direcciones de monederos de criptomonedas copiadas en el portapapeles; configurando la persistencia; implementando GoToHTTP y Sunlogin; y borrando los datos asociados a 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Skye y Telegram.
«Los comandos y complementos de KKrat permiten funciones como el secuestro del portapapeles para reemplazar las direcciones de las carteras de criptomonedas, la instalación de herramientas de RMM como Sunlogin y GoToHTTP y la retransmisión del tráfico de red que puede usarse para eludir los firewalls y las VPN», afirma Zscaler.