SOC Prime Bias: Crítico

08 Abr 2026 14:57
newspaper icon zeroShadow

La Campaña de Malware APT-Q-27 se Enfoca en el Soporte al Cliente de Web3

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
La Campaña de Malware APT-Q-27 se Enfoca en el Soporte al Cliente de Web3
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Un actor de amenaza motivado financieramente, identificado como APT-Q-27 (también conocido como GoldenEyeDog), está llevando a cabo una campaña de malware de múltiples fases que comienza desde interacciones de chat de soporte al cliente de Web3. El señuelo inicial es un archivo .pif disfrazado como captura de pantalla, que despliega un cargador .NET personalizado. Ese cargador extrae etapas adicionales de AWS S3, construye un directorio de preparación oculto y utiliza la carga lateral de DLL al emparejar una DLL maliciosa con un ejecutable legítimo de la plataforma YY. La etapa final instala una puerta trasera que se comunica sobre un puerto TCP no estándar, permitiendo acceso remoto sigiloso más allá de los patrones típicos de tráfico web.

Investigación

ZeroShadow analizó múltiples variantes de cargadores, incluyendo Feedback.exe y photo2025060268jpg.exe, y recuperó una URL de C2 codificada en doble Base64 incrustada en la cadena. La ingeniería inversa reveló la lógica de descifrado del cargador y el flujo de trabajo de carga lateral utilizado para iniciar la ejecución. Los analistas también documentaron un marcador de ruta de preparación consistente que contiene “@27”, además de un mecanismo de persistencia a través de un valor de ejecución HKCU nombrado SystemUpdats. Se observó que la puerta trasera utilizaba un conjunto codificado de 37 direcciones IP de C2, comunicándose a través de TCP 15628, al tiempo que mezclaba la actividad haciendo referencia a URLs de actualización de Microsoft como indicadores de red de señuelo.

Mitigación

Habilite la visibilidad completa de las extensiones de archivos y bloquee la ejecución de archivos .pif en todos los puntos finales. Monitoree la creación de directorios ocultos bajo ubicaciones de caché estilo de actualización de Windows y alerte sobre el valor de la clave de ejecución SystemUpdats. Endurezca UAC evitando que los atacantes anulen simultáneamente las tres claves de políticas relevantes, y restrinja la conectividad saliente a TCP 15628 en puntos de salida. Refuerce la validación de la firma de código y examine los binarios firmados lanzados desde directorios no sistémicos para reducir el riesgo de carga lateral de DLL.

Respuesta

Si suenan detecciones, aísle el punto final y conserve tanto los artefactos de memoria como de disco para el triaje. Busque el directorio de preparación que contiene “@27”, la entrada de la clave de ejecución SystemUpdats y cualquier DLL sospechosa emparejada con el ejecutable legítimo de YY. Bloquee las direcciones IP/dominos de C2 identificados y despliegue políticas de control de aplicaciones que eviten la ejecución de binarios no firmados o no confiables desde rutas de perfil de usuario. Expanda el alcance a través de la flota para los mismos patrones de persistencia y red para identificar anfitriones adicionales afectados.

"graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef registry fill:#c2f0c2 classDef network fill:#ff99cc classDef builtin fill:#cccccc %% Nodes action_phishing_link["<b>Acción</b> – <b>T1204.001 Ejecución de Usuario: Enlace Malicioso</b><br/>URL engañosa enviada en el chat en vivo, la víctima hace clic y descarga un archivo .pif llamado photo2025060268jpg.exe"] class action_phishing_link action file_pif["<b>Archivo</b> – <b>Nombre</b>: photo2025060268jpg.exe<br/><b>Tipo</b>: ejecutable .pif disfrazado como imagen"] class file_pif file action_malicious_file["<b>Acción</b> – <b>T1204.002 Ejecución de Usuario: Archivo Malicioso</b><br/>El .pif se ejecuta, abre Paint con una imagen de error falsa y lanza el cargador"] class action_malicious_file action file_loader["<b>Malware</b> – <b>Nombre</b>: Cargador<br/><b>Comportamiento</b>: Descifra cargas útiles, lanza updat.exe"] class file_loader builtin action_obfuscation["<b>Acción</b> – <b>T1027.008 Archivos u2011Encriptados o Información</b><br/>Todas las cadenas, URLs y cargas son encriptadas con doble Base64"] class action_obfuscation action action_debugger_evasion["<b>Acción</b> – <b>T1622 Evasión de Depurador</b><br/>Verifica IsDebuggerPresent y la pila de llamadas, sale si se detecta un depurador"] class action_debugger_evasion action action_persistence["<b>Acción</b> – <b>T1547.001 Claves de Ejecución del Registro/Carpeta de Inicio</b><br/>Escribe HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats u2192 updat.exe en carpeta de preparación oculta"] class action_persistence action registry_run_key["<b>Registro</b> – <b>Ruta</b>: HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats<br/><b>Valor</b>: ruta de updat.exe"] class registry_run_key registry file_updat["<b>Archivo</b> – <b>Nombre</b>: updat.exe<br/><b>Ubicación</b>: directorio de preparación oculta"] class file_updat file action_uac_bypass["<b>Acción</b> – <b>T1548.002 Elusión de UAC</b><br/>Configura EnableLUA, ConsentPromptBehaviorAdmin y PromptOnSecureDesktop en 0 en una sola transacción"] class action_uac_bypass action action_appinit["<b>Acción</b> – <b>T1546.010 DLLs AppInit</b> & <b>T1546.009 DLLs AppCert</b><br/>updat.exe lanzado con el directorio de trabajo configurado en la carpeta de preparación causando la carga de DLL maliciosa"] class action_appinit action file_vcruntime["<b>DLL</b> – <b>Nombre</b>: vcruntime140.dll (maliciosa)"] class file_vcruntime file file_msvcp["<b>DLL</b> – <b>Nombre</b>: msvcp140.dll (maliciosa)"] class file_msvcp file file_crashreport["<b>DLL</b> – <b>Nombre</b>: crashreport.dll (maliciosa)"] class file_crashreport file action_dll_sideload["<b>Acción</b> – <b>T1574.002 Carga Lateral de DLL</b><br/>Cargan DLLs maliciosas en lugar de bibliotecas de tiempo de ejecución legítimas"] class action_dll_sideload action action_c2["<b>Acción</b> – <b>T1571 Puerto No Estándar</b> & <b>T1573 Canal Encriptado</b><br/>La puerta trasera establece conexión TCP a C2 en puerto 15628, tráfico encriptado, recupera manifest desde AWS S3"] class action_c2 action network_c2["<b>Red</b> – <b>Protocolo</b>: TCP<br/><b>Puerto</b>: 15628<br/><b>Punto Final</b>: servidor C2 (AWS S3)"] class network_c2 network %% Connections action_phishing_link –>|descargas| file_pif file_pif –>|ejecuta| action_malicious_file action_malicious_file –>|lanza| file_loader file_loader –>|utiliza| action_obfuscation file_loader –>|utiliza| action_debugger_evasion file_loader –>|inicia| action_persistence action_persistence –>|escribe| registry_run_key registry_run_key –>|apunta a| file_updat file_updat –>|activado por| action_uac_bypass action_uac_bypass –>|habilita| action_appinit action_appinit –>|carga| file_vcruntime action_appinit –>|carga| file_msvcp action_appinit –>|carga| file_crashreport file_vcruntime –>|contribuye a| action_dll_sideload file_msvcp –>|contribuye a| action_dll_sideload file_crashreport –>|contribuye a| action_dll_sideload action_dll_sideload –>|habilita| action_c2 action_c2 –>|se comunica con| network_c2 "

Flujo de Ataque

Detecciones

Posible Bypass de UAC – Desactivación del Administrador de Consentimiento (vía evento_registro)

Equipo SOC Prime
06 Abr 2026

Ver

Posible Archivo Malicioso con Doble Extensión (vía creación_proceso)

Equipo SOC Prime
06 Abr 2026

Ver

Posibles Puntos de Persistencia [ASEPs – Software/Colmena NTUSER] (vía evento_registro)

Equipo SOC Prime
06 Abr 2026

Ver

Posible Bypass de UAC – Intento de Desactivación de UAC (vía evento_registro)

Equipo SOC Prime
06 Abr 2026

Ver

Biblioteca Dinámica Vcruntime140 Cargada Desde Directorio Sospechoso (vía carga_imagen)

Equipo SOC Prime
06 Abr 2026

Ver

Posible Bypass de UAC – Intento de Desactivación de Aviso de Escritorio Seguro (vía evento_registro)

Equipo SOC Prime
06 Abr 2026

Ver

IOCs (DestinationIP) para detectar: Trabajando en la Cola: Malware APT-Q-27 Ataca Soporte al Cliente Web3 Parte 1

Reglas de AI de SOC Prime
06 Abr 2026

Ver

IOCs (SourceIP) para detectar: Trabajando en la Cola: Malware APT-Q-27 Ataca Soporte al Cliente Web3 Parte 2

Reglas de AI de SOC Prime
06 Abr 2026

Ver

IOCs (DestinationIP) para detectar: Trabajando en la Cola: Malware APT-Q-27 Ataca Soporte al Cliente Web3 Parte 2

Reglas de AI de SOC Prime
06 Abr 2026

Ver

IOCs (HashSha256) para detectar: Trabajando en la Cola: Malware APT-Q-27 Ataca Soporte al Cliente Web3

Reglas de AI de SOC Prime
06 Abr 2026

Ver

IOCs (SourceIP) para detectar: Trabajando en la Cola: Malware APT-Q-27 Ataca Soporte al Cliente Web3 Parte 1

Reglas de AI de SOC Prime
06 Abr 2026

Ver

Detección de Desactivación de UAC vía Modificaciones del Registro [Evento de Registro de Windows]

Reglas de AI de SOC Prime
06 Abr 2026

Ver

Detección de Carga Lateral de DLL vía Updat.exe en AppData [Creación de Proceso de Windows]

Reglas de AI de SOC Prime
06 Abr 2026

Ver

Ejecución de Simulación

Requisito Previo: La Verificación de Telemetría y Línea de Base debe haber sido aprobada.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    Un adversario con derechos de administrador local busca desactivar UAC para allanar el camino a herramientas adicionales de escalada de privilegios. Usando la reg.exe utilidad nativa (un binario de sobrevivencia), el atacante configura los tres valores críticos de políticas de UAC a 0 en rápida sucesión (menos de 30 segundos) para evitar la detección por procesos de auditoría manual.

    # Paso 1 – Desactivar UAC “EnableLUA”
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /f

# Paso 2 – Desactivar solicitud de consentimiento para administradores
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f

# Paso 3 – Desactivar escritorio seguro para solicitudes de UAC
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f

    Estos tres comandos generan tres Eventos de Registro logs (EventID 4657 en el canal de Seguridad y los correspondientes Microsoft-Windows-Registry/Operational eventos) conteniendo las rutas TargetObject y los valores Details que la regla Sigma coincide. guión de prueba de regresión:

  • El siguiente script de PowerShell realiza las tres escrituras con una pausa de 5 segundos entre cada una para mantenerse cómodamente dentro de la ventana de 30 segundos, al tiempo que proporciona un flujo de ejecución determinista. # Prueba de Regresión – Desactivar UAC vía registro $regPath = «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem» # Almacenar valores originales para limpieza posterior $originalEnableLUA = (Get-ItemProperty -Path $regPath -Name EnableLUA -ErrorAction SilentlyContinue).EnableLUA $originalConsent = (Get-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -ErrorAction SilentlyContinue).ConsentPromptBehaviorAdmin $originalPrompt = (Get-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -ErrorAction SilentlyContinue).PromptOnSecureDesktop # Desactivar UAC Set-ItemProperty -Path $regPath -Name EnableLUA -Value 0 Start-Sleep -Seconds 5 Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value 0 Start-Sleep -Seconds 5 Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value 0 Write-Host «UAC desactivado – los logs de verificación deberían ahora ser ingeridos.»

    Comandos de Limpieza:

  • Restaurar las configuraciones de UAC originales para devolver el sistema a su estado previo a la prueba. # Limpieza – Restaurar configuraciones originales de UAC $regPath = «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem» if ($null -ne $originalEnableLUA) { Set-ItemProperty -Path $regPath -Name EnableLUA -Value $originalEnableLUA } if ($null -ne $originalConsent) { Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value $originalConsent } if ($null -ne $originalPrompt) { Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value $originalPrompt } Write-Host «Configuraciones de UAC restauradas a valores originales.»

    # Cleanup – Restore original UAC settings
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

if ($null -ne $originalEnableLUA) { Set-ItemProperty -Path $regPath -Name EnableLUA -Value $originalEnableLUA }
if ($null -ne $originalConsent)   { Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value $originalConsent }
if ($null -ne $originalPrompt)    { Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value $originalPrompt }

Write-Host "UAC settings restored to original values."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis