Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un grupo de amenazas está utilizando una variante personalizada del RAT basado en Java conocido como Adwind para desplegar un payload de ransomware llamado JanaWare. La actividad está principalmente dirigida a usuarios en Turquía, con el malware realizando comprobaciones basadas en la ubicación y la IP antes de continuar la ejecución. Los investigadores han rastreado muestras relacionadas desde 2020, mientras que la actividad de comando y control más reciente indica que la campaña permaneció activa en 2025.
Investigación
El equipo de Acronis TRU examinó archivos JAR maliciosos distribuidos a través de correos electrónicos de phishing que se lanzaron a través de Outlook y Chrome. Una vez ejecutados, la cadena de infección se movió a javaw.exe, que cargó la cepa de Adwind RAT adaptada y luego desplegó el componente de ransomware JanaWare. El análisis también mostró el uso de archivos JAR polimórficos, infraestructura de comando y control basada en Tor, y una nota de rescate escrita en turco.
Mitigación
Los defensores deben bloquear el dominio malicioso elementsplugin.duckdns.org y cualquier puerto asociado, mientras restringen la ejecución de archivos JAR de Java no firmados en todo el entorno. Los equipos de seguridad también deben observar líneas de comando sospechosas de chrome.exe relacionadas con descargas desde Google Drive y fortalecer las protecciones de correo electrónico contra la entrega de phishing. Las defensas de endpoint deben ajustarse para identificar el comportamiento de Adwind RAT, así como actividades de cifrado de archivos sospechosas vinculadas a la ejecución de ransomware.
Respuesta
Si se sospecha de una infección, aísle los sistemas afectados inmediatamente, termine javaw.exe y cualquier proceso malicioso relacionado, y capture evidencia volátil antes de apagar o limpiar. Los esfuerzos de recuperación deben priorizar la restauración de archivos desde copias de seguridad limpias verificadas. Los equipos de respuesta a incidentes también deben recopilar la telemetría de comando y control disponible y evaluar si la notificación a las fuerzas del orden es apropiada en casos que involucren demandas de rescate o extorsión.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[«<b>Acción</b> – <b>T1566 Phishing</b>: Enviar correo de phishing con enlace malicioso de Google Drive»] class action_phishing action tool_malicious_link[«<b>Herramienta</b> – <b>Nombre</b>: Enlace malicioso de Google Drive»] class tool_malicious_link tool action_user_exec[«<b>Acción</b> – <b>T1204.001 Ejecución del usuario</b>: La víctima hace clic; Chrome descarga un JAR malicioso»] class action_user_exec action process_chrome[«<b>Proceso</b> – Navegador Chrome»] class process_chrome process malware_obf_jar[«<b>Malware</b> – JAR ofuscado (Allatori/Stringer)»] class malware_obf_jar malware process_javaw[«<b>Proceso</b> – javaw.exe (JamPlus)»] class process_javaw process action_obfuscation[«<b>Acción</b> – <b>T1027 Archivos o información ofuscados</b>: Uso de código polimórfico, inserción de basura, resolución dinámica de API»] class action_obfuscation action action_persistence[«<b>Acción</b> – <b>T1547.014 Active Setup</b>: Escribe entrada de registro para inicio automático»] class action_persistence action action_impair_defense[«<b>Acción</b> – <b>T1562 Deteriorar defensas</b>: Desactiva Microsoft Defender, Windows Update, VSS vía PowerShell y registro»] class action_impair_defense action process_powershell[«<b>Proceso</b> – PowerShell»] class process_powershell process action_recovery_inhibit[«<b>Acción</b> – <b>T1490 Inhibir recuperación</b> y <b>T1070.004 Eliminación de archivos</b>: Elimina copias sombra»] class action_recovery_inhibit action action_encrypt[«<b>Acción</b> – <b>T1486 Datos cifrados para impacto</b>: Descarga ransomware, cifra con AES y deja nota de rescate en turco»] class action_encrypt action malware_ransomware[«<b>Malware</b> – Módulo ransomware»] class malware_ransomware malware action_c2_obfusc[«<b>Acción</b> – <b>T1001 Ofuscación de datos</b> y <b>T1102.003 Servicio web</b>: Usa Tor para C2»] class action_c2_obfusc action tool_tor[«<b>Herramienta</b> – Red Tor»] class tool_tor tool action_exfil[«<b>Acción</b> – <b>T1041 Exfiltración por C2</b> y <b>T1020 Exfiltración automatizada</b>: Envía archivos por Tor»] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
Flujo del Ataque
Detecciones
Ejecución de Aplicaciones Java desde Ubicación Sospechosa (vía creación_de_procesos)
Ver
Posible Infiltración/Exfiltración de Datos/C2 vía Servicios Herramientas de Terceros (vía dns)
Ver
Posibles Intentos de Comunicaciones de Búsqueda de Dominio IP (vía dns)
Ver
Posible Servicio de DNS Dinámico Fue Contactado (vía dns)
Ver
IOCs (SourceIP) para detectar: El nuevo ransomware JanaWare apunta a Turquía vía Adwind RAT
Ver
IOCs (DestinationIP) para detectar: El nuevo ransomware JanaWare apunta a Turquía vía Adwind RAT
Ver
Comandos PowerShell para Deshabilitar o Debilitar Microsoft Defender [Windows Powershell]
Ver
Entrega de Ransomware JanaWare vía Phishing y Ejecución de Archivo de Java [Creación de Procesos de Windows]
Ver
Ejecución de la Simulación
Prerrequisito: La Verificación del Telemetry & Baseline Pre-flight debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa & Comandos del Ataque:
Un atacante que ha obtenido acceso de usuario de bajo privilegio desea deshabilitar Windows Defender para allanar el camino para el despliegue del ransomware. Utilizando lapowershell.exebinario firmado (T1218.001), el atacante ejecuta un comando de una línea que desactiva la supervisión en tiempo real y desactiva la protección basada en la nube, debilitando así la postura defensiva del endpoint.# Deshabilitar la supervisión en tiempo real y la protección en la nube Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting DisableLa línea de comandos contiene la palabra clave
Set-MpPreference, que coincide con laseleccióncriterios de la regla de detección. -
Guión de Prueba de Regresión: El siguiente script autónomo de PowerShell reproduce el ataque y asegura que la telemetría sea generada.
# ============================== # Simulación: Deshabilitar Microsoft Defender # ============================== try { Write-Host "[*] Deshabilitando la supervisión en tiempo real..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender deshabilitado." } catch { Write-Error "Error al modificar las preferencias de Defender: $_" } -
Comandos de Limpieza: Restaura la configuración original de Defender para evitar dejar el endpoint expuesto.
# Rehabilitar supervisión en tiempo real y protección en la nube Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender restaurado al estado por defecto."