SOC Prime Bias: Alto

24 Jun 2026 06:30 UTC
newspaper icon Seqrite Labs

Archivos RAR Armas Usados para Atacar al Sector de Salud de Tailandia

Author Photo
SOC Prime Team linkedin icon Seguir
Archivos RAR Armas Usados para Atacar al Sector de Salud de Tailandia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Una campaña de malware dirigida está atacando activamente el sector de salud de Tailandia a través de archivos RAR armados. Estos archivos llevan scripts por lotes ofuscados que inician una cadena de infección de múltiples etapas y finalmente ejecutan un robador de información basado en Python. El malware está diseñado para capturar credenciales del navegador y cookies de sesión, luego exfiltrar los datos robados a través de Telegram.

Investigación

Seqrite Lab identificó una ventana de campaña activa que abarcó diez semanas desde abril hasta junio de 2026. Su investigación reveló una cadena de ejecución compleja que involucra cargadores ofuscados Rouki, cargas útiles alojadas en GitHub y persistencia establecida a través de la carpeta de inicio de Windows. Los analistas también observaron intentos de robar información de navegadores basados en Chromium y enviarla a través de la API de Telegram Bot.

Mitigación

Las organizaciones deberían imponer controles estrictos sobre la ejecución de scripts y binarios no confiables obtenidos de fuentes externas. Es esencial el monitoreo cercano de cambios no autorizados en la carpeta de inicio de Windows. Los equipos de seguridad también deberían restringir el acceso a servicios de hospedaje de archivos y mensajería como GitHub y Telegram cuando sean utilizados por procesos no aprobados.

Respuesta

Si se detecta una infección, los respondedores deben aislar inmediatamente los puntos finales afectados para detener el robo de datos. El análisis forense debería centrarse en los %TEMP% and AppData directorios para identificar cargas útiles secundarias y artefactos relacionados. El historial del navegador y los almacenes de credenciales deben revisarse en busca de señales de compromiso, y un proceso de reinicio de contraseñas debería iniciarse para todos los usuarios potencialmente afectados.

"graph TB %% Class Definitions Section classDef acción fill:#99ccff classDef herramientas fill:#cccccc classDef malware fill:#ff9999 classDef persistencia fill:#ccffcc classDef exfiltración fill:#ffccff %% Node Definitions acción_phishing["<b>Acción</b> – <b>T1566.001 Phishing: Adjunto de Spearphishing</b><br/>Descripción: Correos electrónicos temáticos de salud que contienen<br/>archivos RAR maliciosos como Health_Ministry_Approved_Equipment_2026.rar"] class acción_phishing acción acción_user_exec["<b>Acción</b> – <b>T1204.002 Ejecución del Usuario: Archivo Malicioso</b><br/>Descripción: La víctima abre el archivo y ejecuta<br/>el script por lotes malicioso insertado"] class acción_user_exec acción herramienta_powershell["<b/>Herramienta – <b/>Nombre: PowerShell<br/><b>Técnica</b> – T1059.001 Intérprete de Comandos y Scripts: PowerShell<br/>Descripción: Utilizada para decodificar contenido insertado e<br/>iniciar la descarga de etapas subsecuentes"] class herramienta_powershell herramientas acción_ingress["<b/>Acción – <b/>T1105 Transferencia de herramientas de Ingreso</b><br/>Descripción: Utilizando PowerShell y curl para descargar<br/>cargas útiles secundarias desde repositorios alojados en GitHub"] class acción_ingress acción malware_persistencia["<b/>Acción – <b/>T1547.001 Ejecución de Inicio de Arranque o Registro de Inicio de Sesión: Claves de Ejecución del Registro / Carpeta de Inicio</b><br/>Descripción: El archivo por lotes malicioso WindowSecuryt.bat se<br/>coloca en el directorio de inicio de Windows para persistencia"] class malware_persistencia persistencia acción_elevation["<b/>Acción – <b/>T1548 Abuso del Mecanismo de Control de Elevación</b><br/>Descripción: La carga por lotes secundaria u-t2.bat intenta<br/>relanzarse a sí misma con privilegios elevados"] class acción_elevation acción malware_stealer["<b/>Malware – <b/>Nombre: sim.py<br/>Descripción: Robador de información basado en Python<br/>diseñado para recolectar datos sensibles"] class malware_stealer malware acción_credentials["<b/>Acción – <b>T1555.003 Credenciales de Navegadores Web</b><br/>Descripción: Termina procesos del navegador para recolectar<br/>credenciales, cookies y artefactos de sesión"] class acción_credentials acción acción_archive["<b/>Acción – <b>T1560 Archivado de Datos Recolectados</b><br/>Descripción: Los datos robados se comprimen en archivos ZIP<br/>para una colección eficiente"] class acción_archive acción acción_exfiltration["<b/>Acción – <b>T1567 Exfiltración a través de Servicio Web</b><br/>Descripción: Transmite los datos recolectados a canales<br/>controlados por el atacante vía la API de Telegram Bot"] class acción_exfiltration exfiltración %% Connections Section %% El ataque comienza con phishing acción_phishing –>|conduce_a| acción_user_exec %% La ejecución del usuario activa el intérprete acción_user_exec –>|activa| herramienta_powershell %% PowerShell realiza ingreso herramienta_powershell –>|ejecuta| acción_ingress %% El ingreso trae el mecanismo de persistencia acción_ingress –>|descarga| malware_persistencia %% La persistencia conduce a intentos de elevación malware_persistencia –>|inicia| acción_elevation %% La elevación conduce al despliegue del robador acción_elevation –>|despliega| malware_stealer %% El robador realiza recolección de credenciales malware_stealer –>|realiza| acción_credentials %% La recolección conduce al archivado acción_credentials –>|resulta_en| acción_archive %% El archivado conduce a la exfiltración final acción_archive –>|facilita| acción_exfiltration "

Flujo de ataque

Ejecución de Simulación

Prerrequisito: El Control de Pre-vuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa y Comandos del Ataque: El adversario ha obtenido con éxito acceso inicial y ha desplegado un robador de información basado en Python llamado sim.py en C:UsersPublicDesktopsLib. El objetivo es recolectar credenciales de Chrome y Edge. Para evitar bloqueos en la base de datos del perfil del usuario, el atacante ejecuta el script de Python e inmediatamente ejecuta comandos taskkill para finalizar los procesos del navegador. Esta secuencia está diseñada para imitar el comportamiento automatizado del malware.

  • Script de Prueba de Regresión:

    # 1. Configurar el entorno (Simular huella del atacante)
$targetDir = "C:UsersPublicDesktopsLib"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force }
$scriptPath = "$targetDirsim.py"
"print('Robando datos...')" | Out-File -FilePath $scriptPath -Encoding utf8

# 2. Ejecutar el script "Malicioso" de Python (Desencadenar Selección 1)
Write-Host "Ejecutando script de Python..."
Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait

# 3. Ejecutar comandos de Taskkill (Desencadenar Selección 2)
Write-Host "Ejecutando comandos de taskkill..."
$browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe")
foreach ($browser in $browsers) {
    Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue
}

  • Comandos de Limpieza:

    # Eliminar los archivos de malware simulados y el directorio
Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis