Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Bitdefender Labs identificó una intrusión en múltiples oleadas dirigida a una compañía petrolera y de gas de Azerbaiyán entre diciembre de 2025 y febrero de 2026. Los atacantes explotaron las cadenas ProxyShell y ProxyNotShell para comprometer Microsoft Exchange, luego desplegaron los troyanos Deed RAT y Terndoor a través de técnicas avanzadas de carga lateral de DLL mientras volvían repetidamente por el mismo punto de acceso inicial. Bitdefender atribuyó la actividad con moderada a alta confianza al grupo APT FamousSparrow, vinculado a China. La campaña también mostró métodos sofisticados de evasión, incluyendo el enganche de API y la activación por etapas del cargador.
Investigación
Los investigadores documentaron tres oleadas distintas de actividad. La primera implicó el despliegue de web shells en Exchange, seguido de la entrega de Deed RAT utilizando un servicio que se asemejaba a LogMeIn Hamachi. La segunda oleada intentó desplegar Terndoor a través de una cadena basada en USOShared y un controlador, mientras que la última oleada volvió a Deed RAT con datos de configuración actualizados. El análisis técnico descubrió encriptación personalizada, rutinas de descifrado RC4 y AES-CBC, compresión LZNT1 y Deflate, y una estructura de encabezado similar a PE personalizada. Los atacantes luego se movieron lateralmente a través de RDP usando una cuenta de administrador de dominio y emplearon herramientas SMB del marco Impacket.
Mitigación
Las organizaciones deben parchear los servidores Exchange sin demora y remediar todas las exposiciones conocidas de ProxyShell y ProxyNotShell. La segmentación de red puede ayudar a reducir el impacto del reutilización de credenciales y el movimiento lateral. Los defensores también deben desplegar detecciones de comportamiento para carga lateral de DLL, enganche de API y creación de servicios sospechosos. También se recomiendan controles estrictos sobre el acceso privilegiado a RDP y herramientas de ejecución remota basadas en SMB.
Respuesta
Los equipos de seguridad deben alertar sobre la creación de archivos de web shell dentro de directorios de IIS, servicios de Windows inesperados nombrados como LogMeIn Hamachi, y registros de servicios de controlador lanzados desde rutas escribibles por el usuario. El tráfico HTTPS a dominios inusuales como virusblocker.it.com and sentinelonepro.com debe ser correlacionado con otras actividades sospechosas. Los investigadores también deben examinar cualquier proceso que parchee StartServiceCtrlDispatcherW o cargue DLLs sospechosas junto con binarios legítimos.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Node definitions initial_access["<b>Acceso Inicial</b> – <b>T1210 Explotación de Servicios Remotos</b><br/><b>ID de Técnica</b>: T1210<br/><b>Descripción</b>: Exploitar servicios remotos vulnerables como el servidor Exchange utilizando ProxyShell o ProxyNotShell."] class initial_access action persistence_webshell["<b>Persistencia</b> – <b>T1505.003 Web Shell</b><br/><b>ID de Técnica</b>: T1505.003<br/><b>Descripción</b>: Desplegar una web shell en el servidor comprometido para acceso persistente."] class persistence_webshell action malicious_service["<b>Persistencia</b> – <b>T1569 Servicios del Sistema</b><br/><b>ID de Técnica</b>: T1569<br/><b>Descripción</b>: Crear un servicio malicioso haciéndose pasar por LogMeIn Hamachi para persistencia."] class malicious_service action tool_logmein["<b>Herramienta</b> – <b>Nombre</b>: LogMeIn Hamachi<br/><b>Descripción</b>: Servicio VPN legítimo utilizado como disfraz."] class tool_logmein tool execution_proxy["<b>Ejecución</b> – <b>T1218 Ejecución de Proxy de Binario Firmado</b><br/><b>ID de Técnica</b>: T1218<br/><b>Descripción</b>: Utilizar un binario del sistema legítimo para lanzar código malicioso."] class execution_proxy action execution_masquerade["<b>Ejecución</b> – <b>T1036 Suplantación</b><br/><b>ID de Técnica</b>: T1036<br/><b>Descripción</b>: Renombrar ejecutable malicioso como LMIGuardianSvc.exe para mezclarse."] class execution_masquerade action malware_lmi["<b>Malware</b> – <b>Nombre</b>: LMIGuardianSvc.exe<br/><b>Descripción</b>: Carga un DLL malicioso después de ser ejecutado."] class malware_lmi malware defense_reflective["<b>Evasión de Defensa</b> – <b>T1620 Carga de Código Reflectante</b><br/><b>ID de Técnica</b>: T1620<br/><b>Descripción</b>: Cargar código en la memoria sin tocar el disco."] class defense_reflective action defense_processhollow["<b>Evasión de Defensa</b> – <b>T1055.012 Vaciamiento de Proceso</b><br/><b>ID de Técnica</b>: T1055.012<br/><b>Descripción</b>: Reemplazar la memoria de procesos legítimos con código malicioso."] class defense_processhollow action defense_threadhijack["<b>Evasión de Defensa</b> – <b>T1055.003 Secuestro de Hilos</b><br/><b>ID de Técnica</b>: T1055.003<br/><b>Descripción</b>: Secuestrar hilos de un proceso en ejecución."] class defense_threadhijack action defense_hide["<b>Evasión de Defensa</b> – <b>T1564.010 Ocultar Artefactos</b><br/><b>ID de Técnica</b>: T1564.010<br/><b>Descripción</b>: Ocultar componentes maliciosos de la detección."] class defense_hide action payload_decrypt["<b>Procesamiento de Carga</b> – <b>T1560.003 Descompresión de Archivo</b><br/><b>ID de Técnica</b>: T1560.003<br/><b>Descripción</b>: Descifrar y descomprimir la carga antes de la ejecución."] class payload_decrypt action lateral_movement["<b>Movimiento Lateral</b> – <b>T1078 Cuentas Válidas</b><br/><b>ID de Técnica</b>: T1078<br/><b>Descripción</b>: Utilizar credenciales robadas para moverse lateralmente vía RDP y compartir SMB de administración."] class lateral_movement action tool_impacket["<b>Herramienta</b> – <b>Nombre</b>: Impacket<br/><b>Descripción</b>: Biblioteca de Python para protocolos de red utilizada para pivotar."] class tool_impacket tool c2_https["<b>Comando y Control</b> – <b>T1071.001 Protocolos Web HTTPS</b><br/><b>ID de Técnica</b>: T1071.001<br/><b>Descripción</b>: Comunicarse con el servidor C2 a través de HTTPS encriptado."] class c2_https action c2_contentinject["<b>Comando y Control</b> – <b>T1659 Inyección de Contenido</b><br/><b>ID de Técnica</b>: T1659<br/><b>Descripción</b>: Inyectar contenido malicioso en respuestas HTTP legítimas."] class c2_contentinject action impact_kernel["<b>Impacto</b> – <b>T1014 Rootkit</b><br/><b>ID de Técnica</b>: T1014<br/><b>Descripción</b>: Intentar instalar el controlador de kernel Terndoor para persistencia profunda."] class impact_kernel action %% Connections initial_access –>|leads_to| persistence_webshell persistence_webshell –>|leads_to| malicious_service malicious_service –>|uses| tool_logmein malicious_service –>|leads_to| execution_proxy execution_proxy –>|uses| execution_masquerade execution_masquerade –>|loads| malware_lmi malware_lmi –>|performs| defense_reflective defense_reflective –>|performs| defense_processhollow defense_processhollow –>|performs| defense_threadhijack defense_threadhijack –>|performs| defense_hide defense_hide –>|enables| payload_decrypt payload_decrypt –>|enables| lateral_movement lateral_movement –>|uses| tool_impacket lateral_movement –>|leads_to| c2_https c2_https –>|uses| c2_contentinject c2_contentinject –>|enables| impact_kernel "
Flujo de Ataque
Detecciones
Posible Explotación de Servidor Web o Aplicación Web [Windows] (vía línea de comandos)
Ver
Software Alternativo de Acceso Remoto / Gestión (vía creación de procesos)
Ver
Intento de Comunicaciones de Búsqueda de Dominio IP Posible (vía dns)
Ver
IOC (HashMd5) para detectar: APT FamousSparrow ataca a la Industria de Petróleo y Gas de Azerbaiyán
Ver
Detección de Comunicación de Comando y Control de Deed RAT [Conexión de Red de Windows]
Ver
Carga Lateral de DLL por APT FamousSparrow en la Industria de Petróleo y Gas de Azerbaiyán [Evento de Archivo de Windows]
Ver
## Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
-
Narrativa del Ataque y Comandos:
Un adversario que opera el Deed RAT quiere establecer un canal C2 persistente para exfiltrar datos y recibir comandos. Utilizando PowerShell (T1059.001), el RAT inicia una solicitud HTTPS GET al host malicioso codificado
sentinelonepro.comen el puerto 443 (T1071.001). Debido a que la conexión es saliente, atraviesa el firewall de Windows y es capturada por Sysmon como unNetworkConnectevento. La regla de detección debe activarse en este evento. -
Script de Prueba de Regresión:
<# Simulación de C2 de Deed RAT – crea una conexión HTTPS saliente al host malicioso conocido (sentinelonepro.com) en el puerto 443. Este script es seguro para pruebas en un laboratorio aislado; el dominio resuelve a una IP no enrutable (127.0.0.1) para evitar contactar infraestructura de C2 real. #> # Sobrescribir resolución DNS por seguridad (opcional) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Realizar la solicitud HTTPS (tráfico C2 simulado) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "Solicitud C2 completada, código de estado:" $response.StatusCode } catch { Write-Warning "Solicitud C2 fallida (esperada en laboratorio aislado): $_" } -
Comandos de Limpieza:
# Eliminar entrada temporal de hosts $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Limpiar cualquier archivo residual Remove-Item -Path "$env:TEMPexample.html" -ErrorAction SilentlyContinue