Investigadores de ciberseguridad han arrojado luz sobre una nueva campaña que probablemente se haya dirigido a los sectores del automóvil y del comercio electrónico rusos con un malware .NET previamente no documentado denominado Puerta trasera CAPI.
Según Seqrite Labs, la cadena de ataque implica la distribución de correos electrónicos de phishing que contienen un archivo ZIP como forma de desencadenar la infección. El análisis de la empresa de ciberseguridad se basa en el artefacto ZIP que fue subido a la plataforma VirusTotal el 3 de octubre de 2025.
Junto al archivo se encuentra un documento señuelo en ruso que pretende ser una notificación relacionada con la legislación del impuesto sobre la renta y un archivo de acceso directo de Windows (LNK).
El archivo LNK, que tiene el mismo nombre que el archivo ZIP (es decir, «Перерасчет заработной платы 01.10.2025»), es responsable de la ejecución del implante .NET («adobe.dll») utilizando un binario legítimo de Microsoft llamado «rundll32.exe», una técnica de vida de la tierra (LotL) conocida por ser adoptado por los actores de amenazas.
La puerta trasera, señaló Seqrite, viene con funciones para verificar si se está ejecutando con privilegios de nivel de administrador, recopilar una lista de productos antivirus instalados y abrir el documento señuelo como una artimaña, mientras se conecta sigilosamente a un servidor remoto («91.223.75(.)96») para recibir más comandos para su ejecución.
Los comandos permiten a CAPI Backdoor robar datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox; tomar capturas de pantalla; recopilar información del sistema; enumerar el contenido de la carpeta; y exfiltrar los resultados de regreso al servidor.
También intenta ejecutar una larga lista de comprobaciones para determinar si es un host legítimo o una máquina virtual, y utiliza dos métodos para establecer la persistencia, incluida la configuración de una tarea programada y la creación de un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de puerta trasera copiada en la carpeta de itinerancia de Windows.
La evaluación de Seqrite de que el actor de la amenaza tiene como objetivo el sector automovilístico ruso se debe al hecho de que uno de los dominios vinculados a la campaña se llama carprlce(.)ru, que parece hacerse pasar por el legítimo «carprice(.)ru».
«La carga útil maliciosa es una DLL .NET que funciona como un ladrón y establece persistencia para futuras actividades maliciosas», dijeron los investigadores Priya Patel y Subhajeet Singha.