Los investigadores de ciberseguridad han expuesto a un actor de amenaza previamente desconocido conocido como Curse de agua que se basa en repositorios de GitHub armado para entregar malware en varias etapas.
«El malware permite la exfiltración de datos (incluidas las credenciales, los datos del navegador y los tokens de sesión), el acceso remoto y la persistencia a largo plazo en los sistemas infectados», dijeron tendencia a los micro investigadores Jovit Samaniego, Aira Marcelo, Mohamed Fahmy y Gabriel Nicoleta en un análisis publicado esta semana.
La campaña «amplia y sostenida», visitada por primera vez el mes pasado, estableció repositorios que ofrecen utilidades de pruebas de penetración aparentemente inocuas, como el bombardero SMTP por correo electrónico y la rata Sakura, pero albergados en sus archivos de configuración de Proyectos de Visual Studio, cargas útiles maliciosas que están diseñadas para sacrificar datos sensibles.
El Arsenal de Water Curse incorpora una amplia gama de herramientas e lenguajes de programación, lo que subraya sus capacidades de desarrollo interfuncional para dirigirse a la cadena de suministro con «robadores de información orientados al desarrollador que difuminan la línea entre las herramientas del equipo rojo y la distribución de malware activo».
«Tras la ejecución, las cargas útiles maliciosas iniciaron complejas cadenas de infección de etapas múltiples que utilizan scripts ofuscados escritos en Visual Basic Script (VBS) y PowerShell», dijeron los investigadores. «Estos scripts descargaron archivos cifrados, extraían aplicaciones basadas en electrones y realizaron un amplio reconocimiento del sistema».
Los ataques también se caracterizan por el uso de técnicas anti-fondos, métodos de escalada de privilegios y mecanismos de persistencia para mantener una posición a largo plazo en los huéspedes afectados. También se emplean los scripts de PowerShell para debilitar las defensas del huésped e inhibir la recuperación del sistema.
Water Curse ha sido descrita como un actor de amenaza de motivación financiera que está impulsado por el robo de credenciales, el secuestro de sesiones y la reventa del acceso ilícito. Hasta 76 cuentas de Github se han vinculado a la campaña. Hay evidencia que sugiere que la actividad relacionada puede haber estado en curso hasta marzo de 2023.
Aprovechar GitHub como punto de distribución de malware es una táctica que ha sido adoptada por varios actores de amenazas en el pasado. Pero el uso de una red de cuentas de GitHub para crear repositorios maliciosos se superpone particularmente con otra oferta de distribución como servicio (DAAS) llamada Stargazers Ghost Network.
Cuando se contactó para hacer comentarios, Check Point Research le dijo a The Hacker News que no puede «negar ni confirmar» si estas actividades son parte de Stargazers Ghost Network dada la información limitada disponible. «Sin embargo, hemos notado que el
El surgimiento de la maldición del agua es el último ejemplo de cómo los actores de amenaza están abusando de la confianza asociada con plataformas legítimas como GitHub como canal de entrega para ataques de la cadena de suministro de software de malware y escenario.
«Sus repositorios incluyen malware, utilidades de evasión, trucos de juegos, AIMBots, herramientas de billetera de criptomonedas, raspadores de osint, bots de spam y robadores de credenciales», dijo Trend Micro. «Esto refleja una estrategia de orientación múltiple que combina el delito cibernético con monetización oportunista».
«Su infraestructura y comportamiento indican un enfoque en el sigilo, la automatización y la escalabilidad, con exfiltración activa a través de Telegram y servicios públicos de intercambio de archivos».
La divulgación se produce cuando se han observado múltiples campañas aprovechando la estrategia de ClickFix prevalente para implementar varias familias de malware como Asyncrat, Deerstealer (a través de un cargador llamado Hijack Loader), Filch Stealer, Lightperlgirl y Sectoprat (también a través de Hojack Loader).
Asyncrat es uno de los muchos troyanos de acceso remoto (ratas) fácilmente disponibles que los actores de amenaza no identificados han utilizado a miles de organizaciones que abarcan múltiples sectores desde principios de 2024. Algunos aspectos de la campaña fueron documentados por ForcePoint en agosto de 2024 y enero de 2025.
«Esta artesanía permite que el malware elude las defensas perimetrales tradicionales, particularmente mediante el uso de los túneles temporales de Cloudflare para servir cargas útiles de una infraestructura aparentemente legítima», dijo Halcyon. «Estos túneles proporcionan a los atacantes subdominios efímeros y no registrados que parecen confiables para los controles perimetrales, lo que dificulta el bloqueo o la lista negra».
«Debido a que la infraestructura se gira dinámicamente a través de servicios legítimos, los defensores enfrentan desafíos para distinguir el uso malicioso de los flujos de trabajo autorizados de DevOps o de mantenimiento de TI. Esta táctica permite a los actores de amenaza entregar cargas útiles sin confiar en servidores comprometidos o alojamiento a prueba de balas, aumentando tanto la escala como el estallido de la campaña».
Los hallazgos también siguen el descubrimiento de una campaña maliciosa en curso que ha dirigido a varias organizaciones europeas ubicadas en España, Portugal, Italia, Francia, Bélgica y los Países Bajos con señuelos de phishing con temática de facturas para entregar una rata Sorillus Rat (también conocida como Ratty Rat).
Las campañas anteriores que distribuyen el malware han señalado a los profesionales de contabilidad e impuestos utilizando señuelos de la declaración de impuestos, algunas de las cuales han aprovechado las técnicas de contrabando HTML para ocultar las cargas de útiles maliciosas.
La cadena de ataque detallada por Orange CyberDefense emplea correos electrónicos de phishing similares que tienen como objetivo engañar a los destinatarios para que la apertura de los archivos adjuntos PDF que contengan un enlace OneDrive que apunta a un archivo PDF alojado directamente en el servicio de almacenamiento en la nube mientras le pide al usuario que haga clic en un botón de «Abrir el documento».
Hacerlo redirige a la víctima a un servidor web malicioso que actúa como un sistema de distribución de tráfico (TDS) para evaluar la solicitud entrante y determinar si necesitan avanzar más a la siguiente etapa de la infección. Si la máquina de la víctima cumple con los criterios necesarios, se muestran un PDF benigno, mientras que un archivo JAR se descarga sigilosamente para soltar y ejecutar Sorillus Rat.
Una rata basada en Java que surgió por primera vez en 2019, Sorillus es un malware multiplataforma que puede cosechar información confidencial, descargar/cargar archivos, tomar capturas de pantalla, grabar audio, registro de teclas, ejecutar comandos arbitrarios e incluso desinstalarlo. Tampoco ayuda que numerosas versiones accesorias del troyano estén disponibles en línea.
Se evalúa que los ataques son parte de una campaña más amplia que se ha observado que entrega Sambaspy a los usuarios en Italia. Sambaspy, por ciberdefensa naranja, pertenece a la familia de malware Sorillus.
«La operación muestra una combinación estratégica de servicios legítimos, como OneDrive, Mediafire y plataformas de túneles como Ngrok y Localtonet, para evadir la detección», dijo la compañía de seguridad cibernética. «El uso repetido de portugués brasileño en las cargas útiles respalda una probable atribución para los actores de amenaza de habla brasileña».