Organizaciones gubernamentales, financieras e industriales ubicadas en Asia, África y América Latina son el objetivo de una nueva campaña denominada Neurona Pasivasegún los hallazgos de Kaspersky.
La actividad de ciberespionaje fue señalada por primera vez por el proveedor ruso de ciberseguridad en noviembre de 2024, cuando reveló un conjunto de ataques dirigidos a entidades gubernamentales en América Latina y el este de Asia en junio, utilizando familias de malware nunca antes vistas rastreadas como Neursite y NeuralExecutor.
También describió la operación como que exhibe un alto nivel de sofisticación, con los actores de amenazas aprovechando servidores internos ya comprometidos como una infraestructura intermedia de comando y control (C2) para pasar desapercibidos.
«El actor de la amenaza puede moverse lateralmente a través de la infraestructura y exfiltrar datos, creando opcionalmente redes virtuales que permiten a los atacantes robar archivos de interés incluso de máquinas aisladas de Internet», señaló Kaspersky en ese momento. «Un enfoque basado en complementos proporciona una adaptación dinámica a las necesidades del atacante».
Desde entonces, la compañía dijo que ha observado una nueva ola de infecciones relacionadas con PassiveNeuron desde diciembre de 2024 y que continúa hasta agosto de 2025. La campaña sigue sin ser atribuida en esta etapa, aunque algunas señales apuntan a que es obra de actores de amenazas de habla china.
En al menos un incidente, se dice que el adversario obtuvo capacidades iniciales de ejecución remota de comandos en una máquina comprometida que ejecuta Windows Server a través de Microsoft SQL. Si bien se desconoce el método exacto mediante el cual se logra esto, es posible que los atacantes estén forzando la contraseña de la cuenta de administración, o aprovechando una falla de inyección SQL en una aplicación que se ejecuta en el servidor, o una vulnerabilidad aún indeterminada en el software del servidor.
Independientemente del método utilizado, los atacantes intentaron implementar un shell web ASPX para obtener capacidades básicas de ejecución de comandos. Al fracasar estos esfuerzos, la intrusión fue testigo de la entrega de implantes avanzados a través de una serie de cargadores de DLL ubicados en el directorio System32. Estos incluyen –
- Neurositiouna puerta trasera modular C++ personalizada
- Ejecutor neuronalun implante .NET personalizado que se utiliza para descargar cargas útiles .NET adicionales a través de TCP, HTTP/HTTPS, canalizaciones con nombre o WebSockets y ejecutarlas
- Golpe de cobaltouna herramienta de simulación de adversario legítimo
Neursite utiliza una configuración integrada para conectarse al servidor C2 y utiliza protocolos TCP, SSL, HTTP y HTTPS para las comunicaciones. De forma predeterminada, admite la capacidad de recopilar información del sistema, administrar procesos en ejecución y tráfico proxy a través de otras máquinas infectadas con la puerta trasera para permitir el movimiento lateral.
El malware también viene equipado con un componente para buscar complementos auxiliares para lograr la ejecución de comandos de shell, administración del sistema de archivos y operaciones de socket TCP.
Kaspersky también señaló que las variantes de NeuralExecutor detectadas en 2024 fueron diseñadas para recuperar las direcciones del servidor C2 directamente desde la configuración, mientras que los artefactos encontrados este año llegan a un repositorio de GitHub para obtener la dirección del servidor C2, convirtiendo efectivamente la plataforma de alojamiento de código legítimo en un sistema de resolución muerta.
«La campaña PassiveNeuron se ha distinguido por el hecho de que se dirige principalmente a los servidores», dijeron los investigadores Georgy Kucherin y Saurabh Sharma. «Estos servidores, especialmente los que están expuestos a Internet, suelen ser objetivos lucrativos (para amenazas persistentes avanzadas), ya que pueden servir como puntos de entrada a las organizaciones objetivo».