Varios actores de ransomware están utilizando un malware llamado Suciedad Como parte de sus esfuerzos posteriores a la explotación para robar datos confidenciales y establecer un control remoto sobre los hosts comprometidos.
“Skitnet se ha vendido en foros subterráneos como RAMP desde abril de 2024”, dijo la compañía suiza de ciberseguridad Productaft a The Hacker News. “Sin retención, desde principios de 2025, hemos observado múltiples operadores de ransomware que lo usan en ataques del mundo existente”.
“Por ejemplo, en abril de 2025, Black Puntada aprovechó la sketnet en campañas de phishing con temas de equipos dirigidos a entornos empresariales. Con sus características sigilosas y inmueble flexible, Skitnet parece estar ganando tracción rápidamente en el interior del ecosistema de ransomware”.
Suciedadtodavía llamado Bossnetes un malware de varias etapas desarrollado por un actor de amenazas rastreado por la compañía bajo el nombre de Gusano-306. Un aspecto importante de la utensilio maliciosa es que utiliza lenguajes de programación como Rust y NIM para difundir una carcasa inversa sobre DNS y escamotear la detección.
Incluso incorpora mecanismos de persistencia, herramientas de acercamiento remoto, comandos para la exfiltración de datos e incluso descarga un binario de cargador .NET que se puede usar para servir cargas efectos adicionales, por lo que es una amenaza versátil.
Publicado por primera vez el 19 de abril de 2024, Skitnet se ofrece a los clientes potenciales como un “paquete compacto” que comprende un componente y malware del servidor. El ejecutable original es un binario de óxido que descifra y ejecuta una carga útil integrada que se compila en NIM.
“La función principal de este binario NIM es establecer una conexión de shell inversa con el servidor C2 (comando y control) a través de la resolución DNS”, dijo ProDaft. “Para escamotear la detección, emplea la función GetProcaddress para resolver dinámicamente las direcciones de la función API en emplazamiento de usar tablas de importación tradicionales”.
El binario basado en NIM inicia adicionalmente múltiples hilos para mandar solicitudes DNS cada 10 segundos, interpretar respuestas DNS y extraer comandos para ejecutarse en el host y transmitir los resultados de la ejecución del comando al servidor. Los comandos se emiten a través de un panel C2 que se usa para dirigir los hosts infectados.
Algunos de los comandos de PowerShell compatibles se enumeran a continuación –
- Startup, que garantiza la persistencia creando accesos directos en el directorio de inicio del dispositivo de la víctima
- Pantalla, que captura una captura de pantalla del escritorio de la víctima
- AnyDesk/Rutserv, que implementa un software de escritorio remoto auténtico como Anydesk o Utilidades remotas (“Rutserv.exe”)
- Shell, para ejecutar scripts de PowerShell alojados en un servidor remoto y mandar los resultados al servidor C2
- AV, que reúne una repertorio de productos de seguridad instalados
“Skitnet es un malware de varias etapas que aprovecha múltiples lenguajes de programación y técnicas de enigmático”, dijo ProDaft. “Al usar el óxido para el descifrado de la carga útil y el mapeo manual, seguido de un shell inverso basado en NIM que se comunica sobre DNS, el malware intenta escamotear las medidas de seguridad tradicionales”.
La divulgación se produce cuando ZScaler Threatlabz detalló a otro cargador de malware denominado que se está utilizando para entregar una cepa de ransomware convocatoria Morpheus dirigida a un pupitre de abogados estadounidense.
Activo desde al menos febrero de 2025, TransferLoader incorpora tres componentes, un descargador, una puerta trasera y un cargador especializado para la puerta trasera, lo que permite a los actores de amenaza ejecutar comandos arbitrarios en el sistema comprometido.
Si admisiblemente el descargador está diseñado para obtener y ejecutar una carga útil desde un servidor C2 y ejecutar simultáneamente un archivo PDF Decoy, la puerta trasera es responsable de ejecutar comandos emitidos por el servidor, así como renovar su propia configuración.
“La puerta trasera utiliza la plataforma de pares del sistema de archivos interplanetario descentralizado (IPFS) como un canal de retroceso para renovar el servidor de comando y control (C2)”, dijo la compañía de seguridad cibernética. “Los desarrolladores de TransferLoader utilizan métodos de ofuscación para hacer que el proceso de ingeniería inversa sea más tedioso”.
