Organizaciones gubernamentales, financieras e industriales ubicadas en Asia, África y América Latina son el objetivo de una nueva campaña denominada Neurona Pasivasegún los hallazgos de Kaspersky.
La actividad de ciberespionaje fue señalada por primera vez por el proveedor ruso de ciberseguridad en noviembre de 2024, cuando reveló un conjunto de ataques dirigidos a entidades gubernamentales en América Latina y el este de Asia en junio, utilizando familias de malware nunca antiguamente vistas rastreadas como Neursite y NeuralExecutor.
Además describió la operación como que exhibe un detención nivel de sofisticación, con los actores de amenazas aprovechando servidores internos ya comprometidos como una infraestructura intermedia de comando y control (C2) para tener lugar desapercibidos.
«El actor de la amenaza puede moverse lateralmente a través de la infraestructura y exfiltrar datos, creando opcionalmente redes virtuales que permiten a los atacantes robar archivos de interés incluso de máquinas aisladas de Internet», señaló Kaspersky en ese momento. «Un enfoque basado en complementos proporciona una aclimatación dinámica a las deposición del atacante».
Desde entonces, la compañía dijo que ha observado una nueva ola de infecciones relacionadas con PassiveNeuron desde diciembre de 2024 y que continúa hasta agosto de 2025. La campaña sigue sin ser atribuida en esta etapa, aunque algunas señales apuntan a que es obra de actores de amenazas de deje china.
En al menos un incidente, se dice que el adversario obtuvo capacidades iniciales de ejecución remota de comandos en una máquina comprometida que ejecuta Windows Server a través de Microsoft SQL. Si admisiblemente se desconoce el método exacto mediante el cual se logra esto, es posible que los atacantes estén forzando la contraseña de la cuenta de establecimiento, o aprovechando una rotura de inyección SQL en una aplicación que se ejecuta en el servidor, o una vulnerabilidad aún indeterminada en el software del servidor.
Independientemente del método utilizado, los atacantes intentaron implementar un shell web ASPX para obtener capacidades básicas de ejecución de comandos. Al fracasar estos esfuerzos, la intrusión fue testificador de la entrega de implantes avanzados a través de una serie de cargadores de DLL ubicados en el directorio System32. Estos incluyen –
- Neurositiouna puerta trasera modular C++ personalizada
- Ejecutor neuronalun implante .NET personalizado que se utiliza para descargar cargas bártulos .NET adicionales a través de TCP, HTTP/HTTPS, canalizaciones con nombre o WebSockets y ejecutarlas
- Sorpresa de cobaltouna útil de simulación de adversario permitido
Neursite utiliza una configuración integrada para conectarse al servidor C2 y utiliza protocolos TCP, SSL, HTTP y HTTPS para las comunicaciones. De forma predeterminada, admite la capacidad de resumir información del sistema, ordenar procesos en ejecución y tráfico proxy a través de otras máquinas infectadas con la puerta trasera para permitir el movimiento supletorio.
El malware incluso viene equipado con un componente para agenciárselas complementos auxiliares para conquistar la ejecución de comandos de shell, establecimiento del sistema de archivos y operaciones de socket TCP.
Kaspersky incluso señaló que las variantes de NeuralExecutor detectadas en 2024 fueron diseñadas para recuperar las direcciones del servidor C2 directamente desde la configuración, mientras que los artefactos encontrados este año llegan a un repositorio de GitHub para obtener la dirección del servidor C2, una técnica conocida como técnica de resolución de caída muerta.
«La campaña PassiveNeuron se ha distinguido por el hecho de que se dirige principalmente a los servidores», dijeron los investigadores Georgy Kucherin y Saurabh Sharma. «Estos servidores, especialmente los que están expuestos a Internet, suelen ser objetivos lucrativos (para amenazas persistentes avanzadas), ya que pueden servir como puntos de entrada a las organizaciones objetivo».
