El Área de Conciencia de los Estados Unidos (DOJ) anunció el jueves la interrupción de la infraestructura en ristra asociada con Danabot (incluso conocido como Danatools) y cargos revelados contra 16 individuos por su presunta décimo en el mejora y despliegue del malware, que según fue controlada por una estructura de delitos cibernético con sede en Rusia.
El DOJ dijo que el malware infectó a más de 300,000 computadoras víctimas en todo el mundo, facilitó el fraude y el ransomware, y causó al menos $ 50 millones en daños. Dos de los acusados, Aleksandr Stepanov (incluso conocido como Jimmbee), de 39 abriles, y Artem Aleksandrovich Kalinkin (incluso conocido como Onix), 34, uno y otro de Novosibirsk, Rusia, están actualmente en autogobierno.
Stepanov ha sido inculpado de conspiración, conspiración para cometer fraude al cable y fraude bancario, robo de identidad agravado, paso no competente a una computadora protegida para obtener información, daño no competente de una computadora protegida, intervención de contabilidad y uso de una comunicación interceptada. Kalinkin ha sido inculpado de conspiración para obtener paso no competente a una computadora para obtener información, para obtener paso no competente a una computadora para defraudar y cometer un daño no competente de una computadora protegida.
La denuncia penal y la cargo criminal no selves muestran que muchos de los acusados, contando kalinkin, expusieron sus identidades de la vida positivo posteriormente de infectar accidentalmente sus propios sistemas con el malware.
“En algunos casos, tales autoinfecciones parecían hacerse deliberadamente para probar, analizar o mejorar el malware”, decía la queja (PDF). “En otros casos, las infecciones parecían ser inadvertidas, uno de los peligros de cometer delitos cibernéticos es que los delincuentes a veces se infectan con su propio malware por error”.
“Las infecciones inadvertidas a menudo dieron como resultado que los datos del actor se roben de datos confidenciales y comprometidos a los servidores de Danabot, incluidos los datos que ayudaron a identificar a los miembros de la estructura Danabot”.
Si es público culpable, se dilación que Kalinkin enfrente una sentencia máxima admitido de 72 abriles en la prisión federal. Stepanov enfrentaría un plazo de calabozo de cinco abriles. Al concurrente con la movimiento, el esfuerzo de aplicación de la ley, realizado como parte de la Operación Fin de la Operación, vio los servidores de comando y control (C2) de Danabot incautados, incluidas docenas de servidores virtuales alojados en los Estados Unidos.
“El malware de Danabot utilizó una variedad de métodos para infectar las computadoras víctimas, incluidos los mensajes de correo electrónico de spam que contienen archivos adjuntos maliciosos o hipervínculos”, dijo el Área de Conciencia. “Las computadoras víctimas infectadas con el malware Danabot se convirtieron en parte de una botnet (una red de computadoras comprometidas), lo que permite a los operadores y usuarios de Botnet controlar de forma remota las computadoras infectadas de guisa coordinada”.
 |
| Ejemplo de infraestructura típica de Danabot |
Danabot, como el recientemente desmantelado Malware Lumma Stealer, opera bajo un esquema de malware como servicio (MAAS), con los administradores que arrendan el paso a partir de $ 500 a “varios miles de dólares” al mes. Seguido bajo los apodos Scully Spider y Storm-1044, es una aparejo multifuncional en la ristra de Emotet, Trickbot, Qakbot e IceDid que es capaz de desempeñarse como robador y un vector de entrega para cargas bártulos de la próxima etapa, como el ransomware.
El malware modular basado en Delphi está equipado para sifones de las computadoras víctimas, las sesiones de banca de secuestro y la información del dispositivo de robo, los historiales de navegación de los usuarios, las credenciales de cuentas almacenadas e información de billetera de moneda potencial. Además puede proporcionar paso remoto completo, teclas de registro y videos de captura. Ha sido activo en la naturaleza desde su comienzo en mayo de 2018, cuando comenzó como un troyano bancario.
“Danabot inicialmente atacó a las víctimas en Ucrania, Polonia, Italia, Alemania, Austria y Australia antaño de expandir su postura de orientación para incluir instituciones financieras con sede en Estados Unidos y Canadá en octubre de 2018”, dijo Crowdstrike. “La popularidad del malware creció correcto a su mejora modular temprano que admite inyecciones web basadas en ZEUS, capacidades de robo de información, registro de pulsación de tecla, cinta de pantalla y funcionalidad de computación de red potencial (HVNC) oculta”.
Según Black Lotus Labs y Team Cymru, Danabot emplea una infraestructura de comunicaciones en capas entre una víctima y los controladores Botnet, en el que el tráfico C2 se proxena a través de dos o tres niveles de servidor antaño de que talento el nivel final. Al menos de cinco a seis servidores de nivel 2 estaban activos en un momento hexaedro. La mayoría de las víctimas de Danabot se concentran en Brasil, México y Estados Unidos.
“Los operadores han demostrado su compromiso con su oficio, adaptado a la detección y cambios en la defensa empresarial, y con iteraciones posteriores, aislando los C2 en niveles para ofuscar el seguimiento”, dijeron las compañías. “A lo generoso de este tiempo, han hecho que el BOT sea más ligera de usar con precios estructurados y atención al cliente”.
 |
| Número de campañas de Danabot observadas en los datos de amenazas de correo electrónico de PruebePoint de mayo de 2018 a abril de 2025 |
Los datos de telemetría recopilados por Proofpoint muestran que Danabot estaba “casi completamente falto” del panorama de amenazas de correo electrónico desde julio de 2020 hasta junio de 2024, lo que indica que los actores de amenaza propagaron el malware a través de otros métodos como envenenamiento por SEO y campañas malvertidas.
El Área de Conciencia dijo que los administradores de Danabot operaron una segunda interpretación de la Botnet que fue especialmente diseñada para atacar a las computadoras víctimas en entidades militares, diplomáticas, gubernamentales y relacionadas en América del Boreal y Europa. Esta modificación, que emerge en enero de 2021, fue equipada con capacidades para registrar todas las interacciones que ocurren en un dispositivo de víctima y expedir los datos a un servidor diferente.
“El malware generalizado como Danabot perjudica a cientos de miles de víctimas en todo el mundo, incluidas entidades militares, diplomáticas y gubernamentales sensibles, y causa muchos millones de dólares en pérdidas”, dijo el Fiscal de los Estados Unidos, Bill Essayli para el Distrito Central de California.
Los laboratorios de Lumen Lotus de Lumen le dijeron a The Hacker News “Vimos que un nivel de servicio dio a los compradores la capacidad de usar una configuración privada de C2, o incluso usar su propia botnet,” y agregó que tenían recuentos de tráfico muy bajos, lo que podría indicar una campaña enfocada en las líneas de espionaje. “En cuanto a si fue para fines de espionaje directo, eso probablemente se alinearía con la forma en que notamos que muchos de los C2 casi no tenían cuerpo de bot”, dijo Chris Formosa. “Pero no tenemos pruebas de que definitivamente se usaron solo para el espionaje o específicamente dirigidos a los gobiernos, etc.”
 |
| Diagrama de detención nivel de casa C2 de múltiples niveles |
El Área de Conciencia acreditó por otra parte a varias empresas del sector privado, Amazon, Crowdsstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru y ZScaler, por proporcionar “audiencia valiosa”.
Algunos de los aspectos notables de Danabot, compilados de varios informes, están a continuación –
- DanaBot’s sub-botnet 5 received commands to download a Delphi-based executable leveraged to conduct HTTP-based distributed denial-of-service (DDoS) attacks against the Ukrainian Ministry of Defence (MOD) webmail server and the National Security and Defense Council (NSDC) of Ukraine in March 2022, shortly after Russia’s invasion of the country
- Dos subbotnets de Danabot, 24 y 25, se utilizaron específicamente para fines de espionaje probablemente con el objetivo de obtener más actividades de convento de inteligencia en nombre de los intereses del gobierno ruso
- Los operadores de Danabot han reestructurado periódicamente su propuesta desde 2022 para centrarse en la diversión de defensa, con al menos 85 números de construcción distintos identificados hasta la vencimiento (la interpretación más fresco es 4006, que se compiló en marzo de 2025)
- La infraestructura del malware consta de múltiples componentes: un “bot” que infecta los sistemas de destino y realiza la colección de datos, un “Onlineserver” que administra las funcionalidades de las ratas, un “cliente” para procesar registros recopilados y diligencia de bots, y un “servidor” que maneja la concepción de botes, el embalaje y la comunicación C2.
- Danabot ha sido utilizado en ataques de espionaje específicos contra funcionarios gubernamentales en el Medio Oriente y Europa del Este
- Los autores de Danabot operan como un solo categoría, que ofrecen el malware para traspasar a posibles afiliados, que después lo usan para sus propios fines maliciosos estableciendo y administrando sus propios botnets utilizando servidores privados
- Los desarrolladores de Danabot se han asociado con los autores de varios criptadores y cargadores de malware, como Matanbuchus, y ofrecieron precios especiales para los paquetes de distribución
- Danabot mantuvo un promedio de 150 servidores activos de nivel 1 C2 por día, con aproximadamente 1,000 víctimas diarias en más de 40 países, lo que lo convierte en una de las plataformas MAAS más grandes activas en 2025
Proofpoint, que identificó y llamó por primera vez a Danabot en mayo de 2018, dijo que la interrupción de la operación Maas es una conquista para los defensores y que tendrá un impacto en el panorama de amenazas cibercriminales.
“Las interrupciones cibercriminales y las acciones de aplicación de la ley no solo perjudican la funcionalidad y el uso de malware, sino que incluso imponen un costo para las amenazas a los actores al obligarlos a cambiar sus tácticas, causar desconfianza en el ecosistema penal y potencialmente hacer que los delincuentes piensen en encontrar una carrera diferente”, dijo Selena Larson, un investigador de amenazas de personal a prueba de prueba.
“Estos éxitos contra los ciberdelincuentes solo se producen cuando los equipos de TI comerciales y los proveedores de servicios de seguridad comparten una visión muy necesaria de las mayores amenazas para la sociedad, afectando al maduro número de personas en todo el mundo, que la aplicación de la ley puede usar para rastrear los servidores, la infraestructura y las organizaciones penales detrás de los ataques privados y el sector sabido y la colaboración del sector sabido es criatural para enterarse cómo especular los actores y las acciones de las acciones”.
 |
| Las características de Danabot promovidas en su sitio de soporte |
El DOJ revela cargos contra el líder de Qakbot
El mejora se produce cuando el Área de Conciencia se revela contra un residente de Moscú de 48 abriles, Rustam Rafailevich Gallyamo, por liderar los esfuerzos para desarrollar y sostener el malware Qakbot, que fue interrumpido en una operación multinacional en agosto de 2023. La agencia incluso presentó una denuncia civil contra $ 24 millones en la criptenerada de la criptia de Gallyame por el curso de la inversión.
“Gallyamov desarrolló, desplegó y controló el malware Qakbot a partir de 2008”, dijo el Área de Conciencia. “A partir de 2019, Gallyamov supuestamente utilizó el malware Qakbot para infectar a miles de computadoras víctimas en todo el mundo para establecer una red, o ‘botnet’, de computadoras infectadas”.
El Área de Conciencia reveló que, posteriormente del derribo, Gallyamov y sus conspiradores continuaron sus actividades criminales cambiando a otras tácticas como ataques de “granada de spam” para obtener paso no competente a redes de víctimas y desplegar familias de ransomware como Black Puntada y Cactus. Los documentos judiciales acusan al categoría de delitos electrónicos de décimo en estos métodos en enero de 2025.
“La red BOT del Sr. Gallyamov fue paralizada por los talentosos hombres y mujeres del FBI y nuestros socios internacionales en 2023, pero continuó desplegando métodos alternativos para poner su malware a disposición de las pandillas cibernéticas criminales que llevan a extremidad ataques de ransomware contra víctimas inocentes conjuntamente”, dijo el director asistente al cargo de Akil Davis de la oficina de campo de Los Angeles del FBI.
