Un actor de amenaza conocido Desvío ha sido expulsado como campañas que distribuyen un robador de información conocido como Strela Stealer.
Eso es de acuerdo con los hallazgos de Informlox, que encontró al actor de amenaza para apoyar el control de dominios que albergan la primera etapa del robador, una puerta trasera emplazamiento suerte de mar.
La firma de inteligencia de amenazas del DNS dijo que ha estado rastreando Detour Dog desde agosto de 2023, cuando Sucuri, propiedad de Godaddy, reveló los detalles de los ataques dirigidos a sitios de WordPress para enquistar Javascript maliciosos que utilizaron registros DNS TXT como un canal de comunicación para un sistema de distribución de tráfico (TDS), redirigiendo a los visitantes del sitio a sitios escobos y malware. Las huellas del actor de amenaza se remontan a febrero de 2020.
“Si aceptablemente tradicionalmente estas redireccionamientos condujeron a estafas, el malware ha evolucionado recientemente para ejecutar contenido remoto a través del sistema de comando y control (C2) basado en DNS”, dijo Informlox. “Estamos rastreando al actor de amenaza que controla este malware como Detour Dog”.
La infraestructura propiedad de perros de desvío, según la compañía, se ha utilizado para conservar a Starfish, una caparazón inversa simple que sirve como conducto para Strela Stealer. En un noticia publicado en julio de 2025, IBM X-Force dijo que la puerta trasera se entrega mediante archivos SVG maliciosos con el objetivo de permitir el llegada persistente a las máquinas infectadas.
Hive0145, el actor de amenaza exclusivamente detrás de las campañas de Strela Stealer desde al menos 2022, se evalúa que tiene una motivación financiera y probablemente opere como un corredor de llegada auténtico (IAB), adquiriendo y vendiendo llegada a sistemas comprometidos con fines de provecho.
El prospección de Informlox ha revelado que al menos el 69% de los anfitriones confirmados de la estadificación de las estrellas de mar estaban bajo el control de Detour Dog, y que una botnet de Mikrotik anunciada como REM proxy, que a su vez, está impulsada por SystemBC, como lo descubrió Lumen Lotus Labs el mes pasado, asimismo era parte de la sujeción de ataque.
Específicamente, ha surgido a la luz que los mensajes de correo electrónico de spam que distribuyeron Strela Stealer se originaron en REM Proxy y otra botnet denominada TofSee, este zaguero de los cuales se ha propagado a través de un cargador basado en C ++ llamado privateloader en el pasado. En uno y otro casos, Detour Dog Infraestructura organizó la primera etapa del ataque.
“Los botnets fueron contratados para entregar los mensajes de spam, y Detour Dog fue contratado para entregar el malware”, dijo el Dr. Renée Burton, vicepresidente de inteligencia de amenazas de Inflox, a The Hacker News.
Por otra parte, se ha descubierto que Detour Dog facilita la distribución del robador a través de registros de DNS TXT, con los servidores de nombres DNS controlados por el actor amenazado modificados para analizar las consultas DNS especialmente formateadas de los sitios comprometidos y objetar a ellos con comandos de ejecución de código remoto.
El modus operandi de Detour Dog cuando se alcahuetería de apropiarse una nueva infraestructura es explotando sitios vulnerables de WordPress para realizar inyecciones de código astuto, aunque la compañía dijo que los métodos han seguido evolucionando.
Un aspecto trascendental del ataque es que el sitio web comprometido funciona normalmente el 90% del tiempo, lo que no aumenta las banderas rojas y permite que el malware persista durante períodos prolongados de tiempo. Sin requisa, en instancias seleccionadas (aproximadamente 9%), un visitante del sitio se redirige a una estafa a través de TDS de ayuda o TDS monetizantes; En un proscenio mucho más raro (1%), el sitio recibe un comando de ejecución de archivos remoto. Se cree que las redirecciones son limitadas en un intento por evitar la detección.
El explicación marca la primera vez que Detour Dog ha sido gastado distribuyendo malware, un cambio de desempeñarse como una entidad responsable de reenviar exclusivamente el tráfico a Los Poltos, una compañía de tecnología publicitaria maliciosa que opera bajo el paraguas Vextrio Viper.
“Sospechamos que evolucionaron de estafas para incluir la distribución de malware por razones financieras”, dijo Burton. “Ha habido un gran enfoque en la industria de la seguridad en los últimos 12-18 meses para detener el tipo de estafas que Detour Dog ha apoyado en el pasado. Creemos que estaban ganando menos plata, aunque no podemos confirmar eso”.
Complementar estos cambios está el hecho de que el malware del sitio web utilizado por Detour Dog ha sido testimonio de una cambio propia, ganando la capacidad de ordenar sitios web infectados para ejecutar código desde servidores remotos.
A partir de junio de 2025, las respuestas han dirigido al sitio infectado a recuperar la salida de los scripts PHP de los servidores Strela STELER C2 verificados para distribuir el malware, lo que sugiere el uso dual de DNS como un canal de comunicación y un mecanismo de entrega.
“Las respuestas a las consultas de registros de TXT están codificadas en Base64 e incluyen explícitamente la palabra ‘Down’ para desencadenar esta nueva movimiento”, señaló la compañía. “Creemos que esto ha creado un nuevo maniquí de distribución de malware en red utilizando DNS en el que las diferentes etapas se obtienen de diferentes hosts bajo el control del actor de amenaza y se transmiten cuando el favorecido interactúa con el señuelo de la campaña, por ejemplo, el archivo adjunto del correo electrónico.
“Una configuración novedosa como esta permitiría a un atacante ocultar su identidad detrás de los sitios web comprometidos, haciendo que sus operaciones sean más resistentes, mientras sirvieron para engañar a los cazadores de amenazas porque el malware no es efectivamente donde los archivos adjuntos analizados indican que la etapa está alojada”.
Toda la secuencia de acciones se desarrolla de la venidero guisa –
- La víctima abre un documento astuto, lanzando un archivo SVG que se acerca a un dominio infectado
- El sitio comprometido envía una solicitud de registro TXT al servidor Detour Dog C2 a través de DNS
- El servidor de nombres argumenta con un registro txt que contiene una URL Strela C2, prefijada con “Down”
- El sitio comprometido elimina el prefijo en torno a debajo y utiliza curl para obtener el descargador de estrellas de mar de la URL
- El sitio comprometido actúa como un relé para expedir el descargador al cliente (es aseverar, la víctima)
- El descargador inicia una emplazamiento a otro dominio comprometido
- El segundo dominio comprometido envía una consulta de TXT DNS similar al servidor Detour Dog C2
- El servidor de nombre de Detour Dog argumenta con una nueva URL Strela C2, nuevamente prefijada con “Down”
- El segundo dominio comprometido tira del prefijo y envía una solicitud de curlón al servidor Strela C2 para obtener estrellas de mar
- El segundo dominio comprometido actúa como un relé para expedir el malware al cliente (es aseverar, la víctima)
Informlox dijo que funcionó con la Fundación Shadowserver para sumergirse dos de los dominios C2 de Detour Dog (WebDmonitor (.) IO y Aeroarrows (.) IO) el 30 de julio y el 6 de agosto de 2025.
La compañía asimismo señaló que el actor de amenaza probablemente funciona como un proveedor de distribución como servicio (DAAS), y agregó que encontró evidencia de un “archivo aparentemente no relacionado” propagado a través de su infraestructura. Sin requisa, señaló que “no podía validar lo que se entregó”.
