Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe examina cómo APT28 evolucionó su familia de malware PixyNetLoader entre 2024 y 2026. El cargador se entrega a través de documentos de Office maliciosos que explotan CVE-2026-21509 e instala un DLL registrado como COM que extrae una carga útil oculta de archivos PNG usando esteganografía LSB. Esa carga es un implante de Covenant Grunt que se comunica a través del servicio en la nube FILEN. Los investigadores identificaron cuatro subfamilias distintas de PixyNetLoader y crearon una regla YARA unificada para apoyar la detección en las variantes.
Investigación
Los analistas revisaron alrededor de 90 muestras de malware y las agruparon en cuatro subfamilias basadas en funciones compartidas y patrones de hash de Rich header. Descubrieron que las variantes más recientes introducidas en marzo de 2026 añadieron nuevos métodos de esteganografía, incluyendo encabezados cifrados con AES y derivación de clave basada en PBKDF2. La investigación también documentó las rutas de archivo relevantes, claves de registro y nombres de exportación DLL utilizados por el malware, y produjo firmas YARA para la funcionalidad común en toda la familia.
Mitigación
Los defensores deben monitorear el registro COM sospechoso de DLLs desconocidas, las claves de registro específicas relacionadas con clsid vinculadas al malware, y la implementación de archivos PNG en ubicaciones de preparación conocidas. Las defensas de red también deben inspeccionar el tráfico al servicio FILEN y las características del payload que coincidan con los patrones de esteganografía LSB descritos en las reglas YARA. Las organizaciones deben aplicar el parche para CVE-2026-21509 y limitar o deshabilitar la ejecución de macros de Office de riesgo para reducir la exposición.
Respuesta
Si se detecta actividad de PixyNetLoader, aísle el punto final afectado, elimine el DLL malicioso y el archivo PNG asociado, y restablezca cualquier registro COM comprometido. Los investigadores deben recopilar la carga útil extraída de Covenant Grunt y los registros de red relevantes, luego buscar herramientas relacionadas de APT28, como SlimAgent o Graphite. El contenido de detección también debe ser actualizado y las restricciones de macros deben implementarse de manera consistente en todo el entorno.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones
NotificarmeDetecciones
Posible secuestro de COM de Explorer (vía registro_event)
Ver
Persistencia basada en Outlook posible (vía registro_event)
Ver
Comportamiento sospechoso de creación, ejecución y eliminación de tareas programadas (vía creación_proceso)
Ver
Ejecución de Taskkill sospechosa (vía línea_cmd)
Ver
Posible abuso del manejador de protocolo URI de búsqueda / búsqueda-MS (vía línea_cmd)
Ver
Schtasks apunta a directorio / binario / script sospechoso (vía línea_cmd)
Ver
LOLBAS Regsvr32 (vía línea_cmd)
Ver
Posible infiltración / exfiltración de datos / C2 a través de servicios / herramientas de terceros (vía línea_cmd)
Ver
Posible secuestro de COM de Explorer (vía archivo_event)
Ver
Persistencia basada en Outlook posible (vía archivo_event)
Ver
Probable uso de herramientas de hackeo de Windows [Parte1] (vía archivo_event)
Ver
Posible infiltración / exfiltración de datos / C2 a través de servicios / herramientas de terceros (vía consulta_dns)
Ver
Tarea programada sospechosa (vía auditoría)
Ver
Posible infiltración / exfiltración de datos / C2 a través de servicios / herramientas de terceros (vía proxy)
Ver
Posible infiltración / exfiltración de datos / C2 a través de servicios / herramientas de terceros (vía dns)
Ver
IOCs (HashSha256) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026 Parte 5
Ver
IOCs (HashSha256) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026 Parte 4
Ver
IOCs (HashSha256) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026 Parte 3
Ver
IOCs (HashSha256) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026 Parte 2
Ver
IOCs (HashSha256) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026 Parte 1
Ver
IOCs (HashMd5) para detectar: Seguimiento de APT28 PixyNetLoader: Evoluciones desde 2024 a 2026
Ver
Detectar archivos PNG de esteganografía de PixyNetLoader [Evento de archivo de Windows]
Ver
Ejecución de simulación
Requisito previo: Debe haber pasado la Verificación previa de Telemetría y Línea base.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de ataque & Comandos:
Un operador de APT28 obtiene una carga maliciosa (por ejemplo, un backdoor de PowerShell) y la inserta en un PNG usando una herramienta de esteganografía personalizada. El operador luego copia el PNG elaborado a uno de los lugares de caída conocidos de PixyNetLoader (SplashScreen.png). La escritura del archivo genera un evento de auditoría de seguridad de Windows (4663) que coincide con la regla Sigma, provocando una alerta. El atacante se basa en un tipo de archivo que vive de la tierra (PNG) para mezclarse con los datos normales del usuario y evitar las firmas de AV de punto final. -
Script de prueba de regresión:
# -------------------------------------------------------------- # Simulación de esteganografía PNG de PixyNetLoader – activa la detección # -------------------------------------------------------------- # 1. Definir la ruta de destino (elegir una de las tres ubicaciones monitoreadas) $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" # 2. Construir un encabezado PNG mínimo (8 bytes) – en un ataque real este # incluiría la carga útil oculta por esteganografía. $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A) # 3. Agregar una carga útil ficticia (por ejemplo, un script de PowerShell codificado en base64) $payload = [Text.Encoding]::ASCII.GetBytes( "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg==" ) # Base64 de: POST "exec "cat .ext"" > "Payload" $fileBytes = $pngHeader + $payload # 4. Escribir el PNG elaborado en la ubicación de destino [IO.File]::WriteAllBytes($targetPath, $fileBytes) Write-Host "PNG malicioso desplegado en $targetPath" -
Comandos de limpieza:
# Retirar el PNG malicioso para restaurar el host $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" if (Test-Path $targetPath) { Remove-Item -Path $targetPath -Force Write-Host "Eliminado $targetPath" } else { Write-Host "Archivo no encontrado – nada que limpiar." }