SOC Prime Bias: Medio

11 May 2026 17:48
newspaper icon Netskope

El Holograma de OpenClaw Entrega un Instalador Falso y Rust Infostealer

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
El Holograma de OpenClaw Entrega un Instalador Falso y Rust Infostealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Un sofisticado infostealer basado en Rust se está propagando a través de un instalador falso de OpenClaw. El dropper inicial, identificado como Hologram, aplica múltiples técnicas de evasión de sandbox antes de desplegar un implante modular de seis componentes. La operación también abusa de plataformas legítimas como Azure DevOps, Telegram y Hookdeck para el comando y control y la entrega de información. Su objetivo principal es robar credenciales de extensiones de navegador de billetera de criptomonedas y administradores de contraseñas.

Investigación

Netskope Threat Labs examinó dos oleadas de campaña, Hologram y Pathfinder, y mapeó toda la cadena de infección desde el instalador fraudulento hasta los módulos finales de robo de credenciales. Su análisis descubrió comprobaciones anti-VM, un requisito de movimiento del mouse, un ejecutor de PowerShell que desactiva Microsoft Defender y varios métodos de persistencia, incluyendo claves Run, un uso indebido de Winlogon userinit secuestros, tareas programadas y secuestro de COM. Los investigadores también observaron cambios frecuentes en la infraestructura a través de dominios, canales de Telegram y webhooks de Hookdeck.

Mitigación

Los defensores deben bloquear descargas del instalador falso de OpenClaw y estar atentos al gran PE Rust de 130 MB asociado con la campaña. Los equipos de seguridad también deben detectar la creación del acceso directo OneDriveSync.lnk en la carpeta de Inicio y monitorear las modificaciones del registro que involucren a Winlogon userinit. El acceso saliente a Azure DevOps, la API de Telegram y los endpoints de Hookdeck debe estar estrictamente controlado en sistemas no desarrolladores. Las reglas de firewall también deben evitar conexiones entrantes en los puertos 56001 a través de 57002.

Respuesta

Si se detecta la amenaza, aísle de inmediato el endpoint afectado, recopile los binarios caídos y los archivos relacionados, y realice un análisis forense de los cambios en el registro y los artefactos de tareas programadas. Cualquier token expuesto de Azure DevOps debe ser revocado, y las credenciales de bot de Telegram comprometidas deben ser rotadas. Luego, el contenido de detección debe actualizarse para incluir el mutex observado, nombres de archivos e indicadores de red. Deben informarse a los interesados relevantes, y se debe considerar informar a CERT o a los proveedores de servicio afectados.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Node definitions file_openclaw["<b>File</b>: OpenClaw_x64.exe<br/><b>Type</b>: Fake installer"] class file_openclaw file initial_access["<b>Technique</b> – <b>T1204.002 User Execution: Malicious File</b><br/><b>Description</b>: Victim runs malicious installer from openclawu2011installer.com"] class initial_access technique defense_evasion_vm["<b>Technique</b> – <b>T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks</b><br/><b>Description</b>: Dropper checks for VM, hardware fingerprint and waits for mouse movement"] class defense_evasion_vm technique defense_evasion_firewall["<b>Technique</b> – <b>T1562.004 Impair Defenses: Disable or Modify Firewall</b><br/><b>Description</b>: PowerShell disables Windows Defender and opens inbound ports 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Tool</b>: PowerShell<br/><b>Description</b>: Executes scripts for disabling security components"] class tool_powershell tool execution_reflective["<b>Technique</b> – <b>T1620 Reflective Code Loading</b><br/><b>Description</b>: Decrypted stageu20112 binaries executed in memory via memexec"] class execution_reflective technique execution_injection["<b>Technique</b> – <b>T1055.002 Process Injection: Portable Executable Injection</b><br/><b>Description</b>: svc_service.exe injects payloads using direct NT syscalls"] class execution_injection technique process_svc["<b>Process</b>: svc_service.exe<br/><b>Description</b>: Hosts CLR and performs injection"] class process_svc process persistence_shortcut["<b>Technique</b> – <b>T1547.009 Shortcut Modification</b><br/><b>Description</b>: LNK shortcut placed in Startup folder"] class persistence_shortcut technique file_shortcut["<b>File</b>: OneDriveSync.lnk<br/><b>Location</b>: Startup folder"] class file_shortcut shortcut persistence_hijack["<b>Technique</b> – <b>T1574 Hijack Execution Flow</b><br/><b>Description</b>: Registry changes to WinLogon Userinit, COM hijacking, scheduled task creation"] class persistence_hijack technique node_registry["<b>Registry</b>: WinLogon Userinit modification<br/><b>Action</b>: Alters execution order"] class node_registry registry node_task["<b>Scheduled Task</b>: Logon task<br/><b>Action</b>: Executes payload on user logon"] class node_task scheduled c2_dead_drop["<b>Technique</b> – <b>T1102.001 Web Service: Dead Drop Resolver</b><br/><b>Description</b>: Retrieves C2 domain from Telegram channel description"] class c2_dead_drop technique c2_telegram["<b>C2 Channel</b>: Telegram description"] class c2_telegram c2 c2_bidirectional["<b>Technique</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicates via Hookdeck webhook relay and Telegram Bot API"] class c2_bidirectional technique tool_hookdeck["<b>Tool</b>: Hookdeck webhook relay<br/><b>Description</b>: Relays HTTP requests"] class tool_hookdeck tool tool_telegram_bot["<b>Tool</b>: Telegram Bot API<br/><b>Description</b>: Provides bidirectional messaging"] class tool_telegram_bot tool %% Connections file_openclaw –>|triggers| initial_access initial_access –>|leads_to| defense_evasion_vm defense_evasion_vm –>|leads_to| defense_evasion_firewall defense_evasion_firewall –>|executed_by| tool_powershell defense_evasion_firewall –>|leads_to| execution_reflective execution_reflective –>|loads_into| process_svc process_svc –>|performs| execution_injection execution_injection –>|creates| file_shortcut file_shortcut –>|enables| persistence_shortcut persistence_shortcut –>|supports| persistence_hijack persistence_hijack –>|modifies| node_registry persistence_hijack –>|creates| node_task persistence_hijack –>|obtains| c2_dead_drop c2_dead_drop –>|source| c2_telegram c2_dead_drop –>|uses| c2_bidirectional c2_bidirectional –>|relays_via| tool_hookdeck c2_bidirectional –>|communicates_via| tool_telegram_bot "

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación de Prevuelo de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:

    Un adversario obtiene el instalador falso malicioso de OpenClaw (OpenClaw_x64.exe).
    El usuario, creyendo que es una herramienta legítima de billetera, ejecuta el instalador (T1204).
    El instalador inmediatamente lanza una sola línea de comando que lanza los seis binarios de payload maliciosos de una sola vez, permitiéndole eludir las heurísticas de sandbox y establecer un marco de implante modular (T1027.009, T1608.001, T1546.016, T1127).

    La línea de comando exacta esperada por la regla es:

    OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe

  • Script de Prueba de Regresión:

    # -------------------------------------------------
# Script de simulación – activa la detección de OpenClaw
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"

# Asegúrese de que el instalador ficticio exista (cree un marcador de posición inofensivo)
if (-not (Test-Path $installerPath)) {
    New-Item -ItemType File -Path $installerPath -Force | Out-Null
}

# Construir la lista de argumentos que contiene todos los nombres de payload
$payloads = @(
    "svc_service.exe",
    "virtnetwork.exe",
    "onedrive_sync.exe",
    "audioeq.exe",
    "WinHealhCare.exe",
    "OneSync.exe"
)
$argString = $payloads -join " "

# Lanzar el instalador con la línea de comando maliciosa completa
Write-Host "Lanzando instalador malicioso..."
Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow

# Esperar unos segundos para que Sysmon / Security registre el evento
Start-Sleep -Seconds 5
Write-Host "Simulación completa. Verificar SIEM para alerta."

  • Comandos de Limpieza:

    # -------------------------------------------------
# Script de limpieza – elimina los artefactos creados para la prueba
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"
if (Test-Path $installerPath) {
    Remove-Item -Path $installerPath -Force
}

# Opcionalmente terminar cualquier proceso de payload de marcador de posición persistente (son solo marcadores de posición)
Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Limpieza terminada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis