El Centro de Coordinación CERT de Japón (JPCERT/CC) reveló el jueves que observó incidentes que implicaban el uso de un marco de comando y control (C2) llamado CrossC2, que está diseñado para extender la funcionalidad de la huelga de cobalto a otras plataformas como Linux y Apple Macos para el control del sistema de platificación cruzada.
La agencia dijo que la actividad se detectó entre septiembre y diciembre de 2024, dirigida a varios países, incluido Japón, basado en un análisis de artefactos virustotales.
«El atacante empleó CrossC2, así como otras herramientas como PSEXEC, Plink y Cobalt Strike en intentos de penetrar en AD. La investigación adicional reveló que el atacante usó malware personalizado como cargador para la huelga de cobalto», dijo el investigador de JPCERT/CC, Yuma Masubuchi, en un informe publicado hoy.
El cargador de baliza de Strike Cobalt a medida ha sido llamado en código Readnimeloader. CrossC2, una baliza y constructor no oficial, es capaz de ejecutar varios comandos de ataque de cobalto después de establecer la comunicación con un servidor remoto especificado en la configuración.
En los ataques documentados por JPCERT/CC, una tarea programada creada por el actor de amenaza en la máquina comprometida se utiliza para lanzar el binario legítimo Java.exe, que luego se abusa de Sideload Readnimeloader («Jli.dll»).
Escrito en el lenguaje de programación NIM, el cargador extrae el contenido de un archivo de texto y lo ejecuta directamente en la memoria para evitar dejar trazas en el disco. Este contenido cargado es un cargador de shellcode de código abierto denominado OdinLDR, que finalmente decodifica el Beacon incrustado de Cobalt Strike y lo ejecuta, también en la memoria.
Readnimeloader también incorpora varias técnicas anti-fondos y anti-análisis que están diseñadas para evitar que OdinDLDR se decodifique a menos que la ruta esté clara.
JPCERT/CC dijo que la campaña de ataque comparte cierto nivel de superposición con la actividad de ransomware BlackSuit/Black Basta informada por RAPID7 en junio de 2025, citando superposiciones en el dominio de comando y control (C2) utilizado y los archivos de un nombre similar.
Otro aspecto notable es la presencia de varias versiones ELF de SystemBC, una puerta trasera que a menudo actúa como un precursor para el despliegue de huelga de cobalto y ransomware.
«Si bien existen numerosos incidentes que involucran a Cobalt Strike, este artículo se centró en el caso particular en el que CrossC2, una herramienta que extiende la funcionalidad de baliza de ataque de cobalto a múltiples plataformas, se usó en ataques, comprometiendo los servidores de Linux dentro de una red interna», dijo Masubuchi.
«Muchos servidores de Linux no tienen instalados EDR o sistemas similares, lo que los convierte en puntos de entrada potenciales para un mayor compromiso y, por lo tanto, se requiere más atención».