Investigadores de ciberseguridad han arrojado luz sobre una nueva campaña que probablemente se haya dirigido a los sectores del automóvil y del comercio electrónico rusos con un malware .NET previamente no documentado denominado Puerta trasera CAPI.
Según Seqrite Labs, la condena de ataque implica la distribución de correos electrónicos de phishing que contienen un archivo ZIP como forma de desencadenar la infección. El prospección de la empresa de ciberseguridad se plinto en el artefacto ZIP que fue subido a la plataforma VirusTotal el 3 de octubre de 2025.
Yuxtapuesto al archivo se encuentra un documento señuelo en ruso que pretende ser una notificación relacionada con la fuero del impuesto sobre la renta y un archivo de ataque directo de Windows (LNK).
El archivo LNK, que tiene el mismo nombre que el archivo ZIP (es sostener, «Перерасчет заработной платы 01.10.2025»), es responsable de la ejecución del implante .NET («adobe.dll») utilizando un binario cierto de Microsoft llamado «rundll32.exe», una técnica de vida de la tierra (LotL) conocida por ser adoptivo por los actores de amenazas.
La puerta trasera, señaló Seqrite, viene con funciones para corroborar si se está ejecutando con privilegios de nivel de administrador, compendiar una nómina de productos antivirus instalados y cascar el documento señuelo como una artimaña, mientras se conecta sigilosamente a un servidor remoto («91.223.75(.)96») para aceptar más comandos para su ejecución.
Los comandos permiten a CAPI Backdoor robar datos de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox; tomar capturas de pantalla; compendiar información del sistema; enumerar el contenido de la carpeta; y exfiltrar los resultados de regreso al servidor.
Además intenta ejecutar una larga nómina de comprobaciones para determinar si es un host cierto o una máquina posible, y utiliza dos métodos para establecer la persistencia, incluida la configuración de una tarea programada y la creación de un archivo LNK en la carpeta de inicio de Windows para iniciar automáticamente la DLL de puerta trasera copiada en la carpeta de itinerancia de Windows.
La evaluación de Seqrite de que el actor de la amenaza tiene como objetivo el sector automovilístico ruso se debe al hecho de que uno de los dominios vinculados a la campaña se flama carprlce(.)ru, que parece hacerse acontecer por el cierto «carprice(.)ru».
«La carga útil maliciosa es una DLL .NET que funciona como un usurero y establece persistencia para futuras actividades maliciosas», dijeron los investigadores Priya Patel y Subhajeet Singha.
