Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una campaña observada en abril de 2026 utilizó correos electrónicos de spear-phishing con archivos LNK maliciosos o descargas ejecutables alojadas en Google Cloud Storage. La carga útil entregada instaló un controlador de kernel llamado PoisonX junto con un RAT modular llamado 10FXRAT, permitiendo a los atacantes obtener privilegios a nivel de kernel, desactivar herramientas de seguridad y ocultar actividades maliciosas. Variantes posteriores también adoptaron tácticas BYOVD a través de controladores legítimos firmados como EneIo64.sys and procexp.sys. Se ha observado que la actividad tiene como objetivo a organizaciones en Japón y China.
Investigación
El informe recorre toda la cadena de ejecución, comenzando con un descargador basado en LNK que invoca curl.exe, luego avanza a los componentes PXDropper que despliegan el controlador PoisonX y los módulos 10FXRAT. También describe las rutinas IOCTL basadas en controlador utilizadas para terminar procesos relacionados con la seguridad y ocultar el tráfico de red. Los investigadores documentaron verificaciones anti-análisis, modificaciones de registro, creación de servicios y métodos de persistencia, y enumeraron direcciones IP de comando y control codificadas asociadas con la operación.
Mitigación
Los defensores deben monitorear la actividad inesperada de instalación de controladores, especialmente controladores que no estén firmados o que estén firmados de manera sospechosa, y la creación de servicios con nombres de archivo al estilo HID aleatorios. La detección también debe cubrir cambios en el registro que agreguen exclusiones para Microsoft Defender o desactiven los servicios de Defender. Debe bloquearse el tráfico saliente a los rangos de IP de comando y control identificados, y la monitorización de la red debe buscar el valor mágico 0x58463031 en las cargas útiles de TCP.
Respuesta
Si se detecta esta actividad, aísle de inmediato el endpoint afectado, descargue el controlador PoisonX donde sea posible, y termine todos los procesos 10FXRAT. Restaure los ajustes de registro alterados, re-habilite las protecciones de Microsoft Defender y reemplace los archivos modificados con versiones limpias de fuentes confiables. Luego se debe realizar una investigación forense completa para identificar mecanismos de persistencia y revisar el tráfico hacia los servidores de comando y control conocidos.
"graph TB %% Definiciones de clases classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Nodos email["<b>Herramienta</b> – <b>Nombre</b>: Correo Electrónico de Phishing<br/><b>Descripción</b>: Correo electrónico dirigido con enlace malicioso de Google Cloud Storage"] class email tool initial_access_phishing["<b>Acción</b> – <b>T1566.002 Enlace de Spearphishing</b><br/>El atacante envía un correo electrónico que contiene un enlace a un archivo LNK o EXE malicioso"] class initial_access_phishing action lNK_file["<b>Herramienta</b> – <b>Nombre</b>: Atajo LNK Malicioso<br/><b>Descripción</b>: Atajo que ejecuta curl.exe para obtener el dropper"] class lNK_file tool curl_download["<b>Proceso</b> – <b>Nombre</b>: curl.exe<br/><b>Acción</b>: Descarga la carga útil de PXDropper desde el servidor remoto"] class curl_download process pxdropper["<b>Malware</b> – <b>Nombre</b>: PXDropper<br/><b>Descripción</b>: Dropper que establece persistencia y prepara la escalada de privilegios"] class pxdropper malware persistence_service["<b>Acción</b> – <b>T1547.009 Modificación de Atajo</b><br/>Crea o modifica un atajo para lograr el inicio automático"] class persistence_service action registry_run["<b>Acción</b> – <b>T1547.001 Claves de Ejecución del Registro/Carpeta de Inicio</b><br/>Agrega una entrada de ejecución de registro para la ejecución automática"] class registry_run action service_creation["<b>Acción</b> – <b>T1543.003 Crear o Modificar Proceso del Sistema: Servicio de Windows</b><br/>Instala un servicio de Windows para ejecutar el dropper al iniciar"] class service_creation action priv_esc_exploit["<b>Acción</b> – <b>T1068 Explotación para Escalada de Privilegios</b><br/>Exploita una vulnerabilidad para cargar un controlador firmado"] class priv_esc_exploit action driver_install["<b>Malware</b> – <b>Nombre</b>: Controlador PoisonX<br/><b>Descripción</b>: Controlador de kernel firmado cargado como un servicio (BYOVD)"] class driver_install malware kernel_privilege["<b>Acción</b> – <b>T1547.006 Ejecución de Inicio Automático en el Arranque o Inicio de Sesión</b><br/>El controlador de kernel concede privilegios a nivel de SISTEMA"] class kernel_privilege action defense_evasion["<b>Acción</b> – <b>T1497.001 Evasión de Virtualización/Sandbox</b><br/>Realiza verificaciones para entornos de análisis"] class defense_evasion action rootkit["<b>Acción</b> – <b>T1014 Rootkit</b><br/>Engancha las API del kernel para ocultar procesos y tráfico de red"] class rootkit action discovery_process["<b>Acción</b> – <b>T1057 Descubrimiento de Procesos</b><br/>Enumera procesos en ejecución en el host"] class discovery_process action discovery_security["<b>Acción</b> – <b>T1518.001 Descubrimiento de Software de Seguridad</b><br/>Detecta productos de seguridad instalados"] class discovery_security action defense_impair["<b>Acción</b> – <b>Impairment de Defensa</b><br/>Utiliza comandos IOCTL del controlador para terminar procesos de productos de seguridad"] class defense_impair action c2_ratat["<b>Malware</b> – <b>Nombre</b>: 10FXRAT<br/><b>Descripción</b>: Herramienta de acceso remoto que crea un proxy SOCKS5 interno"] class c2_ratat malware c2_communication["<b>Acción</b> – <b>T1219 Herramientas de Acceso Remoto</b><br/>Establece canal de C2 cifrado con el atacante"] class c2_communication action proxy_setup["<b>Acción</b> – <b>T1090 Proxy</b><br/>Configura túnel SOCKS5 interno para el reenvío de tráfico"] class proxy_setup action additional_mods["<b>Acción</b> – <b>Capacidades Adicionales</b><br/>Plugins modulares proporcionan registro de teclas, robo de credenciales y recolección de criptocarteras"] class additional_mods action %% Conexiones mostrando el flujo del ataque email –>|entrega| initial_access_phishing initial_access_phishing –>|proporciona| lNK_file lNK_file –>|ejecuta| curl_download curl_download –>|descarga| pxdropper pxdropper –>|crea| persistence_service persistence_service –>|registra| service_creation service_creation –>|ejecuta| pxdropper pxdropper –>|agrega| registry_run pxdropper –>|utiliza| priv_esc_exploit priv_esc_exploit –>|instala| driver_install driver_install –>|otorga| kernel_privilege kernel_privilege –>|activa| rootkit rootkit –>|realiza| defense_evasion rootkit –>|realiza| discovery_process rootkit –>|realiza| discovery_security discovery_process –>|habilita| defense_impair pxdropper –>|descarga| c2_ratat c2_ratat –>|utiliza| c2_communication c2_communication –>|establece| proxy_setup proxy_setup –>|soporta| additional_mods "
Flujo de Ataque
Detecciones
Uso Sospechoso de CURL (a través de cmdline)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (a través evento de registro)
Ver
Desactivación de Protecciones de Windows Defender (a través evento de registro)
Ver
Posible Archivo LNK Malicioso con Doble Extensión (a través de cmdline)
Ver
La Posibilidad de Ejecución a través de Líneas de Comando PowerShell Ocultas (a través de cmdline)
Ver
Llamadas a Clases/Métodos .NET Sospechosos desde la Línea de Comando de Powershell (a través de creación de procesos)
Ver
Ejecución de Procesos del Sistema desde Rutas Atípicas (a través de creación de procesos)
Ver
Llamadas a Métodos .NET Sospechosos desde Powershell (a través de powershell)
Ver
Cambios Sospechosos de Preferencias de Windows Defender (a través de powershell)
Ver
Dominio de Almacenamiento de Google Api Fue Resuelto por Proceso Inusual (a través de consulta dns)
Ver
IOCs (HashSha256) para detectar: Campaña de Ataque Basada en Controlador PoisonX Dirigida a Organizaciones Japonesas Parte 2
Ver
IOCs (HashSha256) para detectar: Campaña de Ataque Basada en Controlador PoisonX Dirigida a Organizaciones Japonesas Parte 1
Ver
IOCs (SourceIP) para detectar: Campaña de Ataque Basada en Controlador PoisonX Dirigida a Organizaciones Japonesas
Ver
IOCs (DestinationIP) para detectar: Campaña de Ataque Basada en Controlador PoisonX Dirigida a Organizaciones Japonesas
Ver
Detección de Comunicación C2 de 10FXRAT [Conexión de Red de Windows]
Ver
Detección de 10FXRAT y Comandos para Desactivar Servicios de Seguridad [Creación de Procesos de Windows]
Ver
Persistencia de Malware a través de Modificaciones del Registro y Defender de Windows [Evento de Registro de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo de Pre‑vuelo de la Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen el objetivo de generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El atacante primero inyecta una carga útil de shellcode personalizada enusoclient64.exepara obtener un punto de apoyo de proceso de confianza (T1574.009). Con el proceso secuestrado, ejecutan una línea única de PowerShell que añade la carpeta de carga útil maliciosa a la lista de exclusión de Windows Defender (T1564.012). Finalmente, deshabilitan los servicios de seguridad centrales usando un comando encadenado decmd.exeque detiene Windows Defender, el Centro de Seguridad de Windows, y cualquier AV de tercero (T1547.001 persistencia a través de la interrupción de servicio).- Hollowing / Inyección de Procesos – simular lanzando
usoclient64.execon un script de PowerShell que duerme (representa el código inyectado). - Añadir Exclusión a Defender – comando de PowerShell que coincide exactamente con el string de la regla.
- Detener Servicios de Seguridad –
cmd.exeuna línea única que detiene los servicios.
- Hollowing / Inyección de Procesos – simular lanzando
-
Script de Test de Regresión:
# ------------------------------------------------------------------------- # Script de Simulación – activa la regla Sigma para comportamiento similar a 10FXRAT # ------------------------------------------------------------------------- # 1. Simular la inyección de usoclient64.exe (marcador de hollowing de proceso) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Lanzando usoclient64.exe (inyección simulada)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Comando de PowerShell que añade una exclusión a Defender (coincide con la regla) Write-Host "[*] Añadiendo ruta de exclusión a Windows Defender..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Desactivar servicios de seguridad vía cmd (coincide con la regla) Write-Host "[*] Deteniendo servicios de seguridad..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Simulación completa. Verifique alertas en el SIEM." -
Comandos de Limpieza:
# ------------------------------------------------------------------------- # Limpieza – restaura la postura de seguridad normal # ------------------------------------------------------------------------- # Eliminar la exclusión de Defender powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Reiniciar servicios detenidos cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Opcionalmente matar la instancia inyectada de usoclient64.exe Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Limpieza terminada."