El Centro de Coordinación CERT de Japón (JPCERT/CC) reveló el jueves que observó incidentes que implicaban el uso de un entorno de comando y control (C2) llamado CrossC2, que está diseñado para extender la funcionalidad de la huelga de cobalto a otras plataformas como Linux y Apple Macos para el control del sistema de platificación cruzada.
La agencia dijo que la actividad se detectó entre septiembre y diciembre de 2024, dirigida a varios países, incluido Japón, basado en un observación de artefactos virustotales.
“El atacante empleó CrossC2, así como otras herramientas como PSEXEC, Plink y Cobalt Strike en intentos de penetrar en AD. La investigación adicional reveló que el atacante usó malware personalizado como cargador para la huelga de cobalto”, dijo el investigador de JPCERT/CC, Yuma Masubuchi, en un noticia publicado hoy.
El cargador de baliza de Strike Cobalt a medida ha sido llamado en código Readnimeloader. CrossC2, una baliza y constructor no oficial, es capaz de ejecutar varios comandos de ataque de cobalto luego de establecer la comunicación con un servidor remoto especificado en la configuración.
En los ataques documentados por JPCERT/CC, una tarea programada creada por el actor de amenaza en la máquina comprometida se utiliza para exhalar el binario verdadero Java.exe, que luego se abusa de Sideload Readnimeloader (“Jli.dll”).
Escrito en el lengua de programación NIM, el cargador extrae el contenido de un archivo de texto y lo ejecuta directamente en la memoria para evitar dejar trazas en el disco. Este contenido cargado es un cargador de shellcode de código franco denominado OdinLDR, que finalmente decodifica el Beacon incrustado de Cobalt Strike y lo ejecuta, todavía en la memoria.
Readnimeloader todavía incorpora varias técnicas anti-fondos y anti-análisis que están diseñadas para evitar que OdinDLDR se decodifique a menos que la ruta esté clara.
JPCERT/CC dijo que la campaña de ataque comparte cierto nivel de superposición con la actividad de ransomware BlackSuit/Black Puntada informada por RAPID7 en junio de 2025, citando superposiciones en el dominio de comando y control (C2) utilizado y los archivos de un nombre similar.
Otro aspecto importante es la presencia de varias versiones ELF de SystemBC, una puerta trasera que a menudo actúa como un precursor para el despliegue de huelga de cobalto y ransomware.
“Si proporcionadamente existen numerosos incidentes que involucran a Cobalt Strike, este artículo se centró en el caso particular en el que CrossC2, una útil que extiende la funcionalidad de baliza de ataque de cobalto a múltiples plataformas, se usó en ataques, comprometiendo los servidores de Linux internamente de una red interna”, dijo Masubuchi.
“Muchos servidores de Linux no tienen instalados EDR o sistemas similares, lo que los convierte en puntos de entrada potenciales para un veterano compromiso y, por lo tanto, se requiere más atención”.
