El actor de amenaza de motivación financiera conocido como Encrypthub (incluso conocido como Oruga-208 y Water Gamayun) se ha atribuido a una nueva campaña que se dirige a los desarrolladores de Web3 para infectarlos con malware del robador de información.
“Oruga-208 ha evolucionado sus tácticas, utilizando plataformas de IA falsas (por ejemplo, Norlax AI, imitando a TeamPilot) para atraer a las víctimas con ofertas de trabajo o solicitudes de revisión de cartera”, dijo ProDaft de la compañía de seguridad cibernética Swiss en un comunicado compartido con Hacker News.
Si acertadamente el comunidad tiene un historial de implementación de ransomware, los últimos hallazgos demuestran una proceso de sus tácticas y una diversificación de sus métodos de monetización mediante el uso de malware de robador para cosechar datos de billeteras de criptomonedas.
El enfoque de CiCryPTHub en los desarrolladores de Web3 no es accidental: estas personas a menudo administran billeteras criptográficas, llegada a repositorios de contratos inteligentes o entornos de prueba sensibles. Muchos operan como trabajadores independientes o trabajan en múltiples proyectos descentralizados, lo que los hace más difíciles de proteger con los controles de seguridad empresariales tradicionales. Esta comunidad de desarrolladores descentralizada y de detención valencia presenta un objetivo ideal para los atacantes que buscan monetizar rápidamente sin desencadenar defensas centralizadas.
Las cadenas de ataque implican dirigir los posibles objetivos a plataformas engañosas de inteligencia sintético (IA) y engañarlos para que haga clic en supuestos enlaces de reuniones adentro de estos sitios.
Los enlaces de reuniones a estos sitios se envían a los desarrolladores que siguen el contenido relacionado con Web3 y blockchain a través de plataformas como X y Telegram con el pretexto de una entrevista de trabajo o discusión de cartera. Incluso se ha antitético que los actores de amenaza envían los enlaces de reunión a las personas que solicitaron puestos publicados por ellos en un tablero de trabajo Web3 llamado Remote3.
Lo interesante es el enfoque utilizado por los atacantes para evitar advertencias de seguridad emitidas por Remote3 en su sitio. Donado que el servicio advierte explícitamente a los solicitantes de empleo contra la descarga del software de videoconferencia desconocido, los atacantes realizan una conversación auténtico a través de Google Meet, durante la cual instruyen al solicitante que reanude la entrevista sobre Norlax ai.
Independientemente del método utilizado, una vez que la víctima hace clic en el enlace de la reunión, se les pide que ingresen su dirección de correo electrónico y código de invitación, luego de que se les cumple un mensaje de error simulado sobre los controladores de audio desactualizados o faltantes.
Al hacer clic en el mensaje, conduce a la descarga de software malvado disfrazado de un propio regulador de audio Realtek HD, que ejecuta comandos de PowerShell para recuperar e implementar el cagiga. La información recopilada por el malware del robador se transmite a un servidor forastero llamado SilentPrism.
“Los actores de amenaza distribuyen infantes de infantes como voluble a través de aplicaciones falsas de IA, cosechando con éxito billeteras de criptomonedas, credenciales de exposición y datos confidenciales de proyectos”, dijo ProDaft.
“Esta última operación sugiere un cambio en dirección a estrategias de monetización alternativas, incluida la exfiltración de datos valiosos y credenciales para una posible reventa o explotación en mercados ilícitos”.
El exposición se produce cuando Trustwave SpiderLabs detalló una nueva cepa de ransomware citación Kawa4096 Ese “sigue el estilo del comunidad de ransomware Akira, y un formato de nota de rescate similar al de Qilin, probablemente un intento de enriquecer aún más su visibilidad y credibilidad”.
Se dice que Kawa4096, que surgió por primera vez en junio de 2025, se dirigió a 11 compañías, con la viejo cantidad de objetivos ubicados en los Estados Unidos y Japón. Se desconoce el vector de llegada auténtico utilizado en los ataques.
Una característica trascendental de Kawa4096 es su capacidad para abreviar archivos en unidades de red compartidas y el uso de la recitación múltiple para aumentar la eficiencia operativa y acelerar el proceso de escaneo y oculto.
“A posteriori de identificar archivos válidos, el ransomware los agrega a una huesito dulce compartida”, dijeron los investigadores de seguridad Nathaniel Morales y John Basmayor. “Esta huesito dulce es procesada por un comunidad de hilos de trabajadores, cada uno responsable de recuperar rutas de archivos y transmitirla a la rutina de oculto. Se utiliza un semáforo para la sincronización entre los subprocesos, asegurando el procesamiento valioso de la huesito dulce de archivos”.
Otro nuevo participante del paisaje de ransomware es Crux, que afirma ser parte del Colección Blackbyte y se ha desplegado en la naturaleza en tres incidentes detectados los días 4 y 13 de julio de 2025, por cazadora.
En uno de los incidentes, se ha antitético que los actores de amenaza aprovechan las credenciales válidas a través de RDP para obtener un punto de apoyo en la red de destino. Global a todos los ataques es el uso de herramientas legítimas de Windows como svchost.exe y bcdedit.exe para ocultar comandos maliciosos y modificar la configuración de inicio para inhibir la recuperación del sistema.
“El actor de amenaza incluso tiene preferencia por los procesos legítimos como bcdedit.exe y svchost.exe, por lo que el monitoreo continuo para un comportamiento sospechoso utilizando estos procesos a través de la detección y respuesta del punto final (EDR) puede ayudar a Suss a los actores de amenaza en su entorno”, dijo Huntress.
