Resumen de malware: Un cuarteto de malware que trabaja en conjunto

En el Resumen de Malware de hoy, echaremos un vistazo rápido a cuatro ejemplos diferentes de malware que han surgido casi al mismo tiempo. Demuestran la compleja cadena de amenazas que se utilizan a la vez, a veces por diferentes grupos con fines dispares.

En este caso, los cuatro —RomCom RAT, TransferLoader, MeltingClaw y DustyHammock— fueron identificados a principios de la década de 2020 tras la invasión rusa de Ucrania. Fueron y son utilizados extensamente por grupos de habla rusa contra objetivos ucranianos, polacos y algunos rusos.

RomCom RAT

Tipo: troyano de acceso remoto (RAT)

Distribución: campañas de phishing, URLs comprometidas, descargas de software falsas

Variante: SingleCamper

Primera identificación: 2022

Objetivos comunes: Principalmente desplegados contra objetivos en Ucrania

Operadores conocidos: TA829, UAT-5647

RomCom RAT es utilizado por actores de amenazas para crear una puerta trasera que permite el control remoto de los endpoints. El grupo TA829, vinculado a Rusia, utiliza esta y otras herramientas para la recopilación de inteligencia y cometer fraudes financieros. Este grupo suele explotar vulnerabilidades en Mozilla Firefox y Microsoft Windows para propagar RomCom RAT.

Una vez que un sistema queda comprometido con RomCom RAT, el actor de la amenaza suele insertar un cargador sigiloso como TransferLoader o SlipScreen. Luego se utilizan para cargar ransomware en el sistema objetivo.

Inicialmente, fue utilizado principalmente contra objetivos ucranianos y polacos por grupos de habla rusa, antes de ser adaptado a los delitos financieros.

TransferLoader

Tipo: cargador de malware

Distribución: campañas de phishing con temática de solicitudes de empleo, peligro por RAT

Identificado por primera vez: febrero de 2025

Operador conocido: UNK_GreenSec, RomCom

TransderLoader combina un descargador, una puerta trasera y un cargador de puerta trasera para permitir que los actores de amenazas realicen cambios en los sistemas comprometidos e inserten ransomware u otro tipo de malware.

Se descubrió por primera vez cuando se utilizó para cargar el ransomware Morpheus en el sistema de un bufete de abogados estadounidense. Desde entonces, se ha utilizado para enviar malware como MeltingClaw y DustyHammer.

TransferLoader ha sido diseñado para ser sigiloso, utilizando una variedad de técnicas para evitar la detección. Al ejecutar código malicioso descargado, enmascara su actividad abriendo archivos señuelo en formato PDF.

MeltingClaw

Tipo: descargador

Variante: RustyClaw

Identificado por primera vez: 2024

Operadores/creadores conocidos: RomCom, también conocido como Storm-0978, UAC-0180, Void Rabisu, UNC2596 y Tropical Scorpius

Se han utilizado campañas avanzadas de spear-phishing para entregar los descargadores MeltingClaw y su primo RustyClaw. Luego descargan e instalan las puertas traseras DustyHammock o ShadyHammock.

Estas puertas traseras sigilosas permiten el acceso a largo plazo a los sistemas objetivo, encontrando y filtrando datos o realizando otras tareas maliciosas. Se utilizó para espionaje y sabotaje contra sistemas en Ucrania durante la invasión rusa.

DustyHammock

Tipo: Puerta trasera

Variante: ShadyHammock

Identificado por primera vez: 2024

DustyHammock está diseñado para comunicarse con un servidor de comando y control, realizar un reconocimiento inicial en sistemas objetivo y permitir que los actores de amenazas ejecuten comandos arbitrarios y descarguen y coloquen archivos maliciosos.

Con el objetivo de permitir el acceso a largo plazo y eludir la detección, DustyHammock se ha utilizado para la filtración de datos, el espionaje y el sabotaje.