Actores de amenaza con lazos con el Hacer La familia de ransomware ha aprovechado el malware conocido como Smokeloader junto con un cargador .NET compilado de .NET previamente indocumentado con nombre en código NetXLoader como parte de una campaña observada en noviembre de 2024.
«NetXLoader es un nuevo cargador basado en .NET que desempeña un papel fundamental en los ataques cibernéticos», dijeron en un análisis del miércoles de los investigadores de Trend Micro Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling y Neljorn Nathaniel Aguas.
«Mientras está oculto, despliega sigilosamente cargas de útiles maliciosas adicionales, como el ransomware de la agenda y el smokeloader. Protegido por .NET Reactor 6, NetXLoader es difícil de analizar».
Qilin, también llamado Agenda, ha sido una amenaza activa de ransomware desde que surgió en el panorama de amenazas en julio de 2022. El año pasado, la compañía de ciberseguridad Halcyon descubrió una versión mejorada del ransomware que llamó Qilin.B.
Datos recientes compartidos por el Grupo-IB muestran que las divulgaciones en el sitio de fuga de datos de Qilin se han más que duplicado desde febrero de 2025, lo que lo convierte en el principal grupo de ransomware para abril con 72 víctimas reclamadas, superando a otros jugadores como Akira, Play y Lynx.
«Desde julio de 2024 hasta enero de 2025, los afiliados de Qilin no revelaron más de 23 compañías por mes», dijo la compañía de seguridad cibernética de Singapur a fines del mes pasado. «Sin embargo, (…) desde febrero de 2025, la cantidad de divulgaciones ha aumentado significativamente, con 48 en febrero, 44 en marzo y 45 en las primeras semanas de abril».
También se dice que Qilin se benefició de una afluencia de afiliados después del abrupto cierre de Ransomhub a principios del mes pasado. Según Flashpoint, Ransomhub fue el segundo grupo de ransomware más activo en 2024, reclamando 38 víctimas en el sector financiero entre abril de 2024 y abril de 2025.
«La actividad de ransomware de la agenda se observó principalmente en los sectores de salud, tecnología, servicios financieros y telecomunicaciones en los Estados Unidos, los Países Bajos, Brasil, India y Filipinas», según los datos de Trend Micro del primer trimestre de 2025.
NetXLoader, dijo la compañía de seguridad cibernética, es un cargador altamente ofuscado que está diseñado para lanzar cargas útiles de la próxima etapa recuperadas de servidores externos (por ejemplo, «Bloglake7 (.) CFD»), que luego se usan para lanzar el smokeloader y el ransomware de la agenda.
Protegido por .NET Reactor versión 6, también incorpora un conjunto de trucos para evitar los mecanismos de detección tradicionales y resistir los esfuerzos de análisis, como el uso de técnicas de enganche justo a tiempo (JIT) y nombres de métodos aparentemente sin sentido, y control de flujo de flujo.
«El uso de NetXLoader por parte de los operadores es un gran avance en la forma en que se entrega el malware», dijo Trend Micro. «Utiliza un cargador muy ofuscado que oculta la carga útil real, lo que significa que no puede saber qué es realmente sin ejecutar el código y analizarlo en la memoria. Incluso el análisis basado en cadenas no ayudará porque la ofuscación revuelve las pistas que normalmente revelarían la identidad de la carga útil».
Se ha encontrado que las cadenas de ataque aprovechan las cuentas válidas y el phishing como vectores de acceso iniciales para soltar NetX Loader, que luego implementa Smokeloader en el host. El malware Smokeloader procede a realizar una serie de pasos para realizar la virtualización y la evasión de sandbox, al tiempo que termina una lista codificada de procesos de ejecución.
En la etapa final, Smokeloader establece el contacto con un servidor de comando y control (C2) para obtener NetXLoader, que inicia el ransomware de la agenda utilizando una técnica conocida como carga de DLL reflectante.
«El grupo de ransomware de la agenda está evolucionando continuamente al agregar nuevas características diseñadas para causar interrupción», dijeron los investigadores. «Sus diversos objetivos incluyen redes de dominio, dispositivos montados, sistemas de almacenamiento y vCenter ESXi».