Identificando a un afiliado: SmokedHam, Qilin, algunos anuncios de Google y cierto bossware

SOC Prime Team

Seguir

Identificando a un afiliado: SmokedHam, Qilin, algunos anuncios de Google y cierto bossware

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Orange Cyberdefense informó que, a principios de 2026, un afiliado de ransomware distribuyó el backdoor SmokedHam a través de anuncios maliciosos que se hacían pasar por software legítimo de utilidades. En al menos una intrusión confirmada, el backdoor se utilizó posteriormente para entregar el ransomware Qilin. Los investigadores atribuyeron la actividad con confianza moderada al afiliado de habla rusa UNC2465, un actor de amenaza previamente asociado con las operaciones de DarkSide, LockBit y Hunters International.

Investigación

La investigación revisó más de 30 muestras de SmokedHam recopiladas durante 2025 y 2026, identificando dominios de malvertising que dependían de Cloudflare Workers para el enmascaramiento de dominios junto con infraestructura alojada en AWS. Los analistas también documentaron el abuso de herramientas legítimas como PuTTY y Total Commander para ayudar a que la actividad maliciosa se confundiera con operaciones administrativas normales. El informe destacó además superposiciones tácticas con actividad previamente vinculada a UNC2465.

Mitigación

Los defensores deben bloquear los dominios de malvertising conocidos, aplicar listas de permisos de aplicaciones para herramientas como RVTools y Remote Desktop Manager, y monitorear el uso inusual de utilidades administrativas legítimas. También se debe fortalecer la cobertura de detección en el endpoint para identificar el comportamiento del backdoor SmokedHam y la actividad posterior al compromiso. El uso de fuentes de inteligencia contra amenazas basadas en la nube puede mejorar aún más los esfuerzos de detección y enriquecimiento.

Respuesta

Si se identifica actividad sospechosa, aísle el host afectado inmediatamente, recoja artefactos forenses y busque indicadores asociados tanto con SmokedHam como con Qilin. Los investigadores también deben determinar si ya ha ocurrido robo de credenciales o cifrado de ransomware. Se recomienda una búsqueda de amenazas más amplia en toda la infraestructura relacionada, junto con la activación de procedimientos establecidos de respuesta a incidentes de ransomware.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[«Acción – T1659 Inyección de contenido (Malvertising) Instalador malicioso disfrazado de RVTools/Remote Desktop Manager»] class action_initial action action_user_exec[«Acción – T1204 Ejecución del usuario La víctima ejecuta el instalador disfrazado»] class action_user_exec action malware_smokedham[«Malware – T1127 Ejecución proxy de utilidades de desarrollador confiables Backdoor SmokedHam instalado»] class malware_smokedham malware action_embedded_payload[«Acción – T1027.009 Cargas útiles incrustadas Carga útil de SmokedHam ofuscada dentro de una utilidad legítima»] class action_embedded_payload action action_polymorphic[«Acción – T1027.014 Código polimórfico La variante usa empaquetado y mutación de código»] class action_polymorphic action action_rat[«Acción – T1219 Herramientas de acceso remoto SmokedHam establece C2 usando herramientas legítimas»] class action_rat action tool_putty[«Herramienta – PuTTY Cliente SSH usado para C2»] class tool_putty tool tool_kitty[«Herramienta – KiTTY Variante de cliente SSH»] class tool_kitty tool tool_zoho[«Herramienta – Zoho Assist Herramienta de soporte remoto usada para C2»] class tool_zoho tool action_c2_comm[«Acción – T1102.001/002/003 Comunicación C2 vía Cloudflare Workers y AWS»] class action_c2_comm action service_cloudflare[«Servicio – Cloudflare Workers»] class service_cloudflare service service_aws[«Servicio – AWS»] class service_aws service action_tunnel[«Acción – T1572 Túnel de protocolo Tráfico tunelizado a través de servicios legítimos»] class action_tunnel action action_ssh_hijack[«Acción – T1563.001 Secuestro de sesión de servicio remoto (SSH) Secuestro mediante credenciales robadas»] class action_ssh_hijack action action_rdp_hijack[«Acción – T1563.002 Secuestro de sesión de servicio remoto (RDP) Secuestro de sesiones RDP»] class action_rdp_hijack action action_exploit_remote[«Acción – T1210 Explotación de servicios remotos Movimiento lateral a hosts internos»] class action_exploit_remote action action_input_capture[«Acción – T1056.003 Captura de entrada Captura de credenciales del portal web»] class action_input_capture action action_account_manip[«Acción – T1098.004 Manipulación de cuentas Claves autorizadas SSH añadidas para persistencia»] class action_account_manip action malware_qilin[«Malware – Ransomware Qilin Cifra los datos de la víctima»] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

Flujo de Ataque

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis