Un actor de amenaza afamado Desvío ha sido expulsado como campañas que distribuyen un robador de información conocido como Strela Stealer.
Eso es de acuerdo con los hallazgos de Informlox, que encontró al actor de amenaza para surtir el control de dominios que albergan la primera etapa del robador, una puerta trasera convocatoria sino de mar.
La firma de inteligencia de amenazas del DNS dijo que ha estado rastreando Detour Dog desde agosto de 2023, cuando Sucuri, propiedad de Godaddy, reveló los detalles de los ataques dirigidos a sitios de WordPress para introducir Javascript maliciosos que utilizaron registros DNS TXT como un canal de comunicación para un sistema de distribución de tráfico (TDS), redirigiendo a los visitantes del sitio a sitios escobos y malware. Las huellas del actor de amenaza se remontan a febrero de 2020.
«Si aceptablemente tradicionalmente estas redireccionamientos condujeron a estafas, el malware ha evolucionado recientemente para ejecutar contenido remoto a través del sistema de comando y control (C2) basado en DNS», dijo Informlox. «Estamos rastreando al actor de amenaza que controla este malware como Detour Dog».
La infraestructura propiedad de perros de desvío, según la compañía, se ha utilizado para mantener a Starfish, una caparazón inversa simple que sirve como conducto para Strela Stealer. En un noticia publicado en julio de 2025, IBM X-Force dijo que la puerta trasera se entrega mediante archivos SVG maliciosos con el objetivo de permitir el camino persistente a las máquinas infectadas.
Hive0145, el actor de amenaza exclusivamente detrás de las campañas de Strela Stealer desde al menos 2022, se evalúa que tiene una motivación financiera y probablemente opere como un corredor de camino auténtico (IAB), adquiriendo y vendiendo camino a sistemas comprometidos con fines de utilidad.
El disección de Informlox ha revelado que al menos el 69% de los anfitriones confirmados de la estadificación de las estrellas de mar estaban bajo el control de Detour Dog, y que una botnet de Mikrotik anunciada como REM proxy, que a su vez, está impulsada por SystemBC, como lo descubrió Lumen Lotus Labs el mes pasado, todavía era parte de la condena de ataque.
Específicamente, ha aparecido a la luz que los mensajes de correo electrónico de spam que distribuyeron Strela Stealer se originaron en REM Proxy y otra botnet denominada TofSee, este posterior de los cuales se ha propagado a través de un cargador basado en C ++ llamado privateloader en el pasado. En uno y otro casos, Detour Dog Infraestructura organizó la primera etapa del ataque.
«Los botnets fueron contratados para entregar los mensajes de spam, y Detour Dog fue contratado para entregar el malware», dijo el Dr. Renée Burton, vicepresidente de inteligencia de amenazas de Inflox, a The Hacker News.
Encima, se ha descubierto que Detour Dog facilita la distribución del robador a través de registros de DNS TXT, con los servidores de nombres DNS controlados por el actor amenazado modificados para analizar las consultas DNS especialmente formateadas de los sitios comprometidos y reponer a ellos con comandos de ejecución de código remoto.
El modus operandi de Detour Dog cuando se alcahuetería de apropiarse una nueva infraestructura es explotando sitios vulnerables de WordPress para realizar inyecciones de código taimado, aunque la compañía dijo que los métodos han seguido evolucionando.
Un aspecto trascendental del ataque es que el sitio web comprometido funciona normalmente el 90% del tiempo, lo que no aumenta las banderas rojas y permite que el malware persista durante períodos prolongados de tiempo. Sin bloqueo, en instancias seleccionadas (aproximadamente 9%), un visitante del sitio se redirige a una estafa a través de TDS de ayuda o TDS monetizantes; En un decorado mucho más raro (1%), el sitio recibe un comando de ejecución de archivos remoto. Se cree que las redirecciones son limitadas en un intento por evitar la detección.
El avance marca la primera vez que Detour Dog ha sido conocido distribuyendo malware, un cambio de interpretar como una entidad responsable de reenviar exclusivamente el tráfico a Los Poltos, una compañía de tecnología publicitaria maliciosa que opera bajo el paraguas Vextrio Viper.
«Sospechamos que evolucionaron de estafas para incluir la distribución de malware por razones financieras», dijo Burton. «Ha habido un gran enfoque en la industria de la seguridad en los últimos 12-18 meses para detener el tipo de estafas que Detour Dog ha apoyado en el pasado. Creemos que estaban ganando menos metálico, aunque no podemos efectuar eso».
Complementar estos cambios está el hecho de que el malware del sitio web utilizado por Detour Dog ha sido declarante de una cambio propia, ganando la capacidad de ordenar sitios web infectados para ejecutar código desde servidores remotos.
A partir de junio de 2025, las respuestas han dirigido al sitio infectado a recuperar la salida de los scripts PHP de los servidores Strela STELER C2 verificados para distribuir el malware, lo que sugiere el uso dual de DNS como un canal de comunicación y un mecanismo de entrega.
«Las respuestas a las consultas de registros de TXT están codificadas en Base64 e incluyen explícitamente la palabra ‘Down’ para desencadenar esta nueva obra», señaló la compañía. «Creemos que esto ha creado un nuevo maniquí de distribución de malware en red utilizando DNS en el que las diferentes etapas se obtienen de diferentes hosts bajo el control del actor de amenaza y se transmiten cuando el sucesor interactúa con el señuelo de la campaña, por ejemplo, el archivo adjunto del correo electrónico.
«Una configuración novedosa como esta permitiría a un atacante ocultar su identidad detrás de los sitios web comprometidos, haciendo que sus operaciones sean más resistentes, mientras sirvieron para engañar a los cazadores de amenazas porque el malware no es efectivamente donde los archivos adjuntos analizados indican que la etapa está alojada».
Toda la secuencia de acciones se desarrolla de la venidero modo –
- La víctima abre un documento taimado, lanzando un archivo SVG que se acerca a un dominio infectado
- El sitio comprometido envía una solicitud de registro TXT al servidor Detour Dog C2 a través de DNS
- El servidor de nombres alega con un registro txt que contiene una URL Strela C2, prefijada con «Down»
- El sitio comprometido elimina el prefijo en dirección a debajo y utiliza curl para obtener el descargador de estrellas de mar de la URL
- El sitio comprometido actúa como un relé para dirigir el descargador al cliente (es sostener, la víctima)
- El descargador inicia una convocatoria a otro dominio comprometido
- El segundo dominio comprometido envía una consulta de TXT DNS similar al servidor Detour Dog C2
- El servidor de nombre de Detour Dog alega con una nueva URL Strela C2, nuevamente prefijada con «Down»
- El segundo dominio comprometido tira del prefijo y envía una solicitud de curlón al servidor Strela C2 para obtener estrellas de mar
- El segundo dominio comprometido actúa como un relé para dirigir el malware al cliente (es sostener, la víctima)
Informlox dijo que funcionó con la Fundación Shadowserver para sumergirse dos de los dominios C2 de Detour Dog (WebDmonitor (.) IO y Aeroarrows (.) IO) el 30 de julio y el 6 de agosto de 2025.
La compañía todavía señaló que el actor de amenaza probablemente funciona como un proveedor de distribución como servicio (DAAS), y agregó que encontró evidencia de un «archivo aparentemente no relacionado» propagado a través de su infraestructura. Sin bloqueo, señaló que «no podía validar lo que se entregó».
