Varios actores de ransomware están utilizando un malware llamado Suciedad Como parte de sus esfuerzos posteriores a la explotación para robar datos confidenciales y establecer un control remoto sobre los hosts comprometidos.
«Skitnet se ha vendido en foros subterráneos como RAMP desde abril de 2024», dijo la compañía suiza de ciberseguridad Productaft a The Hacker News. «Sin embargo, desde principios de 2025, hemos observado múltiples operadores de ransomware que lo usan en ataques del mundo real».
«Por ejemplo, en abril de 2025, Black Basta aprovechó la sketnet en campañas de phishing con temas de equipos dirigidos a entornos empresariales. Con sus características sigilosas y arquitectura flexible, Skitnet parece estar ganando tracción rápidamente dentro del ecosistema de ransomware».
Suciedadtambién llamado Bossnetes un malware de varias etapas desarrollado por un actor de amenazas rastreado por la compañía bajo el nombre de Larva-306. Un aspecto notable de la herramienta maliciosa es que utiliza lenguajes de programación como Rust y NIM para lanzar una carcasa inversa sobre DNS y evadir la detección.
También incorpora mecanismos de persistencia, herramientas de acceso remoto, comandos para la exfiltración de datos e incluso descarga un binario de cargador .NET que se puede usar para servir cargas útiles adicionales, por lo que es una amenaza versátil.
Publicado por primera vez el 19 de abril de 2024, Skitnet se ofrece a los clientes potenciales como un «paquete compacto» que comprende un componente y malware del servidor. El ejecutable inicial es un binario de óxido que descifra y ejecuta una carga útil integrada que se compila en NIM.
«La función principal de este binario NIM es establecer una conexión de shell inversa con el servidor C2 (comando y control) a través de la resolución DNS», dijo ProDaft. «Para evadir la detección, emplea la función GetProcaddress para resolver dinámicamente las direcciones de la función API en lugar de usar tablas de importación tradicionales».
El binario basado en NIM inicia además múltiples hilos para enviar solicitudes DNS cada 10 segundos, leer respuestas DNS y extraer comandos para ejecutarse en el host y transmitir los resultados de la ejecución del comando al servidor. Los comandos se emiten a través de un panel C2 que se usa para administrar los hosts infectados.
Algunos de los comandos de PowerShell compatibles se enumeran a continuación –
- Startup, que garantiza la persistencia creando accesos directos en el directorio de inicio del dispositivo de la víctima
- Pantalla, que captura una captura de pantalla del escritorio de la víctima
- AnyDesk/Rutserv, que implementa un software de escritorio remoto legítimo como Anydesk o Utilidades remotas («Rutserv.exe»)
- Shell, para ejecutar scripts de PowerShell alojados en un servidor remoto y enviar los resultados al servidor C2
- AV, que reúne una lista de productos de seguridad instalados
«Skitnet es un malware de varias etapas que aprovecha múltiples lenguajes de programación y técnicas de cifrado», dijo ProDaft. «Al usar el óxido para el descifrado de la carga útil y el mapeo manual, seguido de un shell inverso basado en NIM que se comunica sobre DNS, el malware intenta evadir las medidas de seguridad tradicionales».
La divulgación se produce cuando ZScaler Threatlabz detalló a otro cargador de malware denominado que se está utilizando para entregar una cepa de ransomware llamada Morpheus dirigida a un bufete de abogados estadounidense.
Activo desde al menos febrero de 2025, TransferLoader incorpora tres componentes, un descargador, una puerta trasera y un cargador especializado para la puerta trasera, lo que permite a los actores de amenaza ejecutar comandos arbitrarios en el sistema comprometido.
Si bien el descargador está diseñado para obtener y ejecutar una carga útil desde un servidor C2 y ejecutar simultáneamente un archivo PDF Decoy, la puerta trasera es responsable de ejecutar comandos emitidos por el servidor, así como actualizar su propia configuración.
«La puerta trasera utiliza la plataforma de pares del sistema de archivos interplanetario descentralizado (IPFS) como un canal de retroceso para actualizar el servidor de comando y control (C2)», dijo la compañía de seguridad cibernética. «Los desarrolladores de TransferLoader utilizan métodos de ofuscación para hacer que el proceso de ingeniería inversa sea más tedioso».