SOC Prime Bias: Crítico

06 Nov 2025 09:01
newspaper icon 0x0v1

“EndClient RAT” – Nuevo Malware Kimsuky APT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
“EndClient RAT” – Nuevo Malware Kimsuky APT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Análisis del RAT EndClient

EndClient RAT es un troyano de acceso remoto recientemente observado vinculado al clúster Kimsuky que llega a través de binarios firmados o lanzadores de scripts (utilizando certificados de firma de código robados para evadir SmartScreen/AV), proporciona ejecución remota de shell/comando, carga/descarga de archivos, persistencia, y C2 sobre HTTP(S), hasta ahora ha mostrado bajas tasas de detección, y fue documentado en informes técnicos iniciales con IOCs.

Las acciones inmediatas incluyen recopilar hashes de archivos y números de serie de certificados, bloquear dominios/URLs de C2 conocidos, revocar o fijar certificados de firma de código inesperados, habilitar la lista blanca de aplicaciones, reforzar los controles de correos electrónicos/adjuntos y buscar ejecutables firmados anómalos.

Investigación

El análisis técnico revela las siguientes técnicas ATT&CK: T1059.003 (Comandos de Shell mediante cmd.exe oculto y tuberías nombradas), T1105 (Transferencia de Herramientas de Ingreso mediante comandos de descarga/carga), T1569.001 (Crear Proceso), T1053.005 (Tarea Programada para persistencia), T1027 (Archivos Ofuscados/Almacenados – script AutoIT compilado y mutación polimórfica cuando se detecta Avast), T1547.009 (Modificación de Acceso Directo – LNK en Inicio), T1543.003 (Servicio de Windows – copiando schtasks.exe a hwpviewer.exe), T1036.005 (Camuflaje – MSI firmado utilizando certificado robado), T1574.001 (Secuestro de Flujo de Ejecución – llamadas DLL), T1129 (Módulos Compartidos – uso de stubs de memoria comunes para Base64, LZMA, búsqueda binaria). El RAT utiliza un mutex global (GlobalAB732E15-D8DD-87A1-7464-CE6698819E701) para prevenir instancias múltiples, verifica el Avast AV, crea una tarea programada llamada «IoKlTr» que se ejecuta cada minuto, y deja archivos en C:UsersPublicMusic. El C2 de red se realiza sobre TCP a 116.202.99.218:443 con marcadores JSON enmarcados en centinelas «endClient9688» y «endServer9688».

Mitigación

Bloquear la ejecución de instaladores MSI no firmados o sospechosos, especialmente aquellos firmados con certificados robados. Monitorear y alertar sobre la creación de tareas programadas llamadas «IoKlTr» o similares y archivos LNK en la carpeta de Inicio (ej., Smart_Web.lnk). Detectar el valor de mutex global y el uso de binarios de AutoIT (AutoIt3.exe). Imponer filtrado de salida de red para bloquear la IP C2 116.202.99.218 y cualquier tráfico que use los marcadores JSON personalizados. Desplegar protección de endpoint que pueda inspeccionar scripts AutoIT compilados y detectar mutaciones polimórficas de archivos. Implementar verificación de firma de código y revocación para certificados comprometidos.

Respuesta

Si se sospecha una infección, aísle el host afectado, recopile volcados de memoria y el archivo MSI para análisis forense, capture las definiciones de tareas programadas, archivos LNK y listados de mutex. Hashee todos los binarios dejados y compárelos con IOCs conocidos. Elimine la tarea programada, borre el acceso directo LNK y elimine los archivos en C:UsersPublicMusic relacionados con el RAT. Bloquee la IP C2 y actualice las reglas del firewall. Realice una búsqueda completa de indicadores en todo el entorno para el mutex, patrones de tuberías nombradas y los marcadores JSON personalizados. Proporcione los hallazgos a las partes interesadas relevantes y considere notificar a las organizaciones de derechos humanos afectadas.

mermaid graph TB %% Class definitions classDef technique fill:#99ccff classDef process fill:#ffdd99 classDef discovery fill:#ddffdd classDef exfil fill:#ffcc99 classDef c2 fill:#ff99cc %% Nodes A[«<b>Técnica</b> – <b>T1210 Explotación de Servicios Remotos</b><br/>Deserialización de WSUS no autenticada en puertos 8530/8531»] class A technique B[«<b>Técnica</b> – <b>T1059.003 Ejecución de Comandos</b><br/>wsusservice.exe o w3wp.exe inicia cmd.exe»] class B process C[«<b>Técnica</b> – <b>T1059.001 PowerShell</b> y <b>T1027.009 Archivos Ofuscados o Información</b><br/>Carga útil codificada en Base64 es decodificada y ejecutada»] class C process D1[«<b>Técnica</b> – <b>T1033 Descubrimiento de Propietario/Usuario del Sistema</b><br/>Comando: whoami»] class D1 discovery D2[«<b>Técnica</b> – <b>T1087.002 Descubrimiento de Cuentas de Dominio</b><br/>Comando: net user /domain»] class D2 discovery D3[«<b>Técnica</b> – <b>T1016 Descubrimiento de Configuración de Red</b><br/>Comando: ipconfig /all»] class D3 discovery E[«<b>Técnica</b> – <b>T1567.004 Exfiltración a través de Webhook</b> via HTTP PUT (T1102.002)<br/>Herramientas: Invoke‑WebRequest o curl»] class E exfil F[«<b>Técnica</b> – <b>T1090.003 Proxy de Salto Múltiple</b> y <b>T1071.001 Protocolos Web</b><br/>Tráfico de Comando y Control»] class F c2 %% Connections A u002du002d>|explota| B B u002du002d>|inicia| C C u002du002d>|ejecuta| D1 C u002du002d>|ejecuta| D2 C u002du002d>|ejecuta| D3 D1 u002du002d>|recopila| E D2 u002du002d>|recopila| E D3 u002du002d>|recopila| E E u002du002d>|transfiere| F

Flujo de Ataque

Simulación CVE-2025-59287

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

  • Narrativa y Comandos de Ataque:

    1. Entrega el MSI firmado (StressClear.msi) al host de la víctima.
    2. Ejecute el MSI silenciosamente, lo que extrae un script AutoIt incrustado (payload.au3).
    3. El script AutoIt lanza AutoIt3.exe, que a su vez ejecuta un cmd.exe oculto para abrir un shell inverso.
    4. Para establecer persistencia, el script copia la schtasks.exe legítima a C:WindowsTemphwpviewer.exe y registra una tarea programada que llama a este binario renombrado al inicio del sistema.
    5. El proceso oculto cmd.exe se inicia con el argumento oculto para evitar la visibilidad del usuario, satisfaciendo los criterios de exclusión de la regla cuando se omite correctamente.

  • Script de Prueba de Regresión:

    # -------------------------------------------------
# Simulación de Entrega y Ejecución del RAT EndClient
# -------------------------------------------------
# 1. Instalar el MSI firmado (entrega carga útil de AutoIt)
msiexec /i "C:TempStressClear.msi" /quiet /norestart

# 2. Ubicar el script AutoIt extraído (ruta simulada)
$autoitScript = "C:ProgramDataStressClearpayload.au3"

# 3. Ejecutar AutoIt3.exe con el script
$autoItExe = (Get-Command "AutoIt3.exe" -ErrorAction SilentlyContinue).Source
if (-not $autoItExe) {
    Write-Error "AutoIt3.exe no encontrado en el sistema. abortando."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis