Las organizaciones mexicanas todavía están siendo atacadas por actores de amenaza para ofrecer una lectura modificada de Allakore Rat y SystemBC como parte de una campaña de larga duración.
La actividad ha sido atribuida por Arctic Wolf Labs a un peña de piratería con motivación financiera llamado Porífero codiciosa. Se cree que es activo desde principios de 2021, apuntando indiscriminadamente a una amplia gradación de sectores, como la liquidación minorista, la agricultura, el sector manifiesto, el entretenimiento, la fabricación, el transporte, los servicios comerciales, los posesiones de hacienda y la banca.
«La carga útil de Rata de Allakore se ha modificado en gran medida para permitir a los actores de amenaza remitir credenciales bancarias seleccionadas y información única de autenticación de regreso a su servidor de comando y control (C2), con el propósito de realizar fraude financiero», dijo la compañía de seguridad cibernética en un examen publicado la semana pasada.
El Equipo de Investigación e Inteligencia de BlackBerry (que ahora es parte de Arctic Wolf) documentó los detalles de la campaña (que ahora es parte del Arctic Wolf), con los ataques que emplean phishing o compromisos para distribuir archivos postales atrapados en el zip que finalmente facilitan el despliegue de Allakore Rat.
Las cadenas de ataque analizadas por Arctic Wolf muestran que el troyano de paso remoto está diseñado para entregar opcionalmente cargas secundarias como SystemBC, un malware basado en C que convierte los hosts de Windows comprometidos en proxies de Socks5 para permitir que los atacantes se comuniquen con sus servidores C2.
Adicionalmente de eliminar potentes herramientas de proxy, la porífero codiciosa igualmente ha refinado y actualizado su artesanía para incorporar medidas de geofencing mejoradas a mediados de 2014 en un intento de frustrar el examen.
«Históricamente, la geofencing a la región mexicana tuvo área en la primera etapa, a través de un descargador de .NET incluido en el archivo de instalador de software (MSI) de Microsoft Troyanizado», dijo la compañía. «Esto ahora se ha movido del banda del servidor para restringir el paso a la carga útil final».
La última iteración se adhiere al mismo enfoque que antiguamente, distribuyendo archivos ZIP («actualiza_policy_v01.zip») que contiene un ejecutable de proxy de Chrome permitido y un archivo MSI troyanizado que está diseñado para soltar ratas Allakore, un malware con capacidades para el kylogging, captura de esgrima, descarga de archivos/carga y control remoto.
El archivo MSI está configurado para implementar un descargador de .NET, que es responsable de recuperar y iniciar el troyano de paso remoto desde un servidor foráneo («Manzisuape (.) Com/amw») y un script PowerShell para acciones de castidad.
Esta no es la primera vez que Allakore Rat se usa en ataques dirigidos a América Latina. En mayo de 2024, Harfanglab y Cisco Talos revelaron que una cambio de Allakore conocida como AllaSenha (igualmente conocida como Carnavalheist) ha sido utilizada para destacar instituciones bancarias brasileñas por actores de amenazas del país.
«Habiendo pasado esos cuatro primaveras más activamente dirigidos a entidades mexicanas, consideraríamos este actor de amenaza persistente, pero no particularmente innovador», dijo Arctic Wolf. «La motivación estrictamente financiera de este actor, próximo con su apunta geográfica limitada, es muy distintiva».
«Adicionalmente, su persistencia operativa apunta a un probable éxito operante, lo que significa que han antitético poco que funciona para ellos, y se quedan con ella. La porífero codiciosa ha tenido los mismos modelos de infraestructura durante la duración de sus campañas».
 |
| Flujo de ataque de la campaña utilizando Ghost Crypt |
El crecimiento se produce cuando Esentire detalló una campaña de phishing de mayo de 2025 que empleó una nueva propuesta de Crypter como servicio conocida como Ghost Crypt para entregar y ejecutar Purerat.
«El paso original se obtuvo a través de la ingeniería social, donde el actor de amenazas se hizo suceder por un nuevo cliente y envió un PDF que contenía un enlace a una carpeta Zoho WorkDrive que contenía archivos maliciosos», señaló la compañía canadiense. «El atacante igualmente creó un sentido de aprieto llamando a la víctima y solicitando que extraen y ejecuten el archivo de inmediato».
Un examen más detallado de la cautiverio de ataque ha revelado que el archivo ladino contiene una carga útil de DLL que está encriptada con Ghost Crypt, que luego extrae e inyecta el troyano (es sostener, el DLL) en un proceso permitido de Windows CSC.exe utilizando una técnica señal inyección de hipnosis de proceso.
Ghost Crypt, que fue anunciado por primera vez por un actor de amenaza homónima en los foros de cibercrimen el 15 de abril de 2025, ofrece la capacidad de evitar el antivirus del defensor de Microsoft, y servir a varios robadores, cargadores y troyanos como Lumma, Radmanthys, Stoalc, Blueloader, Pureloader, Dcrat y Xworm, entre otros.
El descubrimiento igualmente sigue la aparición de una nueva lectura de Neptuno Rat (igualmente conocido como Masonrat) que se distribuye a través de señuelos de archivos JavaScript, lo que permite a los actores de amenaza extraer datos confidenciales, tomar capturas de pantalla, registrar las pulsaciones de teclas, soltar malware de Clipper y descargar cargas bártulos de DLL adicionales.
En los últimos meses, los ataques cibernéticos han empleado instaladores de configuración de Inno Maliciosos que sirven como conducto para el cargador de secuestro (igualmente conocido como cargador IDAT), que luego ofrece el robador de información de la columna roja.
El ataque «aprovecha las capacidades de secuencias de comandos Pascal de Inno Setup para recuperar y ejecutar la carga útil de la próxima etapa en un huésped comprometido o dirigido», dijo el equipo de investigación de amenazas de Splunk. «Esta técnica se parece mucho al enfoque utilizado por un conocido cargador de configuración de Inno Ladino llamado cargador D3F@CK, que sigue un patrón de infección similar».
