Las organizaciones mexicanas todavía están siendo atacadas por actores de amenaza para ofrecer una versión modificada de Allakore Rat y SystemBC como parte de una campaña de larga duración.
La actividad ha sido atribuida por Arctic Wolf Labs a un grupo de piratería con motivación financiera llamado Esponja codiciosa. Se cree que es activo desde principios de 2021, apuntando indiscriminadamente a una amplia gama de sectores, como la venta minorista, la agricultura, el sector público, el entretenimiento, la fabricación, el transporte, los servicios comerciales, los bienes de capital y la banca.
«La carga útil de Rata de Allakore se ha modificado en gran medida para permitir a los actores de amenaza enviar credenciales bancarias seleccionadas y información única de autenticación de regreso a su servidor de comando y control (C2), con el propósito de realizar fraude financiero», dijo la compañía de seguridad cibernética en un análisis publicado la semana pasada.
El Equipo de Investigación e Inteligencia de BlackBerry (que ahora es parte de Arctic Wolf) documentó los detalles de la campaña (que ahora es parte del Arctic Wolf), con los ataques que emplean phishing o compromisos para distribuir archivos postales atrapados en el zip que finalmente facilitan el despliegue de Allakore Rat.
Las cadenas de ataque analizadas por Arctic Wolf muestran que el troyano de acceso remoto está diseñado para entregar opcionalmente cargas secundarias como SystemBC, un malware basado en C que convierte los hosts de Windows comprometidos en proxies de Socks5 para permitir que los atacantes se comuniquen con sus servidores C2.
Además de eliminar potentes herramientas de proxy, la esponja codiciosa también ha refinado y actualizado su artesanía para incorporar medidas de geofencing mejoradas a mediados de 2014 en un intento de frustrar el análisis.
«Históricamente, la geofencing a la región mexicana tuvo lugar en la primera etapa, a través de un descargador de .NET incluido en el archivo de instalador de software (MSI) de Microsoft Troyanizado», dijo la compañía. «Esto ahora se ha movido del lado del servidor para restringir el acceso a la carga útil final».
La última iteración se adhiere al mismo enfoque que antes, distribuyendo archivos ZIP («actualiza_policy_v01.zip») que contiene un ejecutable de proxy de Chrome legítimo y un archivo MSI troyanizado que está diseñado para soltar ratas Allakore, un malware con capacidades para el kylogging, captura de esgrima, descarga de archivos/carga y control remoto.
El archivo MSI está configurado para implementar un descargador de .NET, que es responsable de recuperar y iniciar el troyano de acceso remoto desde un servidor externo («Manzisuape (.) Com/amw») y un script PowerShell para acciones de limpieza.
Esta no es la primera vez que Allakore Rat se usa en ataques dirigidos a América Latina. En mayo de 2024, Harfanglab y Cisco Talos revelaron que una variante de Allakore conocida como AllaSenha (también conocida como Carnavalheist) ha sido utilizada para destacar instituciones bancarias brasileñas por actores de amenazas del país.
«Habiendo pasado esos cuatro años más activamente dirigidos a entidades mexicanas, consideraríamos este actor de amenaza persistente, pero no particularmente avanzado», dijo Arctic Wolf. «La motivación estrictamente financiera de este actor, junto con su apunta geográfica limitada, es muy distintiva».
«Además, su longevidad operativa apunta a un probable éxito operativo, lo que significa que han encontrado algo que funciona para ellos, y se quedan con ella. La esponja codiciosa ha tenido los mismos modelos de infraestructura durante la duración de sus campañas».
 |
| Flujo de ataque de la campaña utilizando Ghost Crypt |
El desarrollo se produce cuando Esentire detalló una campaña de phishing de mayo de 2025 que empleó una nueva oferta de Crypter como servicio conocida como Ghost Crypt para entregar y ejecutar Purerat.
«El acceso inicial se obtuvo a través de la ingeniería social, donde el actor de amenazas se hizo pasar por un nuevo cliente y envió un PDF que contenía un enlace a una carpeta Zoho WorkDrive que contenía archivos maliciosos», señaló la compañía canadiense. «El atacante también creó un sentido de urgencia llamando a la víctima y solicitando que extraen y ejecuten el archivo de inmediato».
Un examen más detallado de la cadena de ataque ha revelado que el archivo malicioso contiene una carga útil de DLL que está encriptada con Ghost Crypt, que luego extrae e inyecta el troyano (es decir, el DLL) en un proceso legítimo de Windows CSC.exe utilizando una técnica llamada inyección de hipnosis de proceso.
Ghost Crypt, que fue anunciado por primera vez por un actor de amenaza homónima en los foros de cibercrimen el 15 de abril de 2025, ofrece la capacidad de evitar el antivirus del defensor de Microsoft, y servir a varios robadores, cargadores y troyanos como Lumma, Radmanthys, Stoalc, Blueloader, Pureloader, Dcrat y Xworm, entre otros.
El descubrimiento también sigue la aparición de una nueva versión de Neptuno Rat (también conocido como Masonrat) que se distribuye a través de señuelos de archivos JavaScript, lo que permite a los actores de amenaza extraer datos confidenciales, tomar capturas de pantalla, registrar las pulsaciones de teclas, soltar malware de Clipper y descargar cargas útiles de DLL adicionales.
En los últimos meses, los ataques cibernéticos han empleado instaladores de configuración de Inno Maliciosos que sirven como conducto para el cargador de secuestro (también conocido como cargador IDAT), que luego ofrece el robador de información de la línea roja.
El ataque «aprovecha las capacidades de secuencias de comandos Pascal de Inno Setup para recuperar y ejecutar la carga útil de la próxima etapa en un anfitrión comprometido o dirigido», dijo el equipo de investigación de amenazas de Splunk. «Esta técnica se parece mucho al enfoque utilizado por un conocido cargador de configuración de Inno Malicioso llamado cargador D3F@CK, que sigue un patrón de infección similar».