Infección de Lumma Stealer con Sectop RAT (ArechClient2)
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe una cadena de infección en dos etapas en la que inicialmente se entrega Lumma Stealer a través de un archivo 7-Zip protegido por contraseña, seguido de la carga de un RAT Sectop (ArechClient2) DLL en una etapa posterior. La primera carga útil llega como un ejecutable de Windows inflado relleno con bytes nulos, una táctica probablemente destinada a eludir la detección y complicar el análisis. El malware se distribuye a través de páginas de descarga comprometidas que imitan servicios legítimos, aumentando la probabilidad de ejecución por parte del usuario. La telemetría de red vinculó la actividad a múltiples dominios maliciosos y una dirección IP conocida utilizada para la comunicación de comando y control.
Investigación
El analista obtuvo el archivo malicioso, extrajo el ejecutable de gran tamaño y examinó su forma reducida después de la deflación. El análisis en sandbox reveló varios dominios de comando y control asociados con Lumma Stealer, junto con un componente DLL separado que cargó Sectop RAT a través de rundll32. Las capturas de red también mostraron tráfico HTTP hacia una dirección IP maliciosa a través de los puertos 9000 y 443, con los datos intercambiados aparentemente codificados.
Mitigación
Las organizaciones deben utilizar herramientas de inspección de contenido capaces de identificar ejecutables inflados y archivos protegidos por contraseña. Los dominios y direcciones IP maliciosos conocidos asociados a la campaña deben ser bloqueados en la capa de red. Los defensores también deben monitorear la rundll32 actividad sospechosa que involucra DLLs inesperadas y rastrear conexiones salientes hacia la infraestructura de comando y control identificada. Controles de descarga estrictos y restricciones en sitios de intercambio de archivos que alojan software crackeado o no confiable pueden reducir aún más la exposición.
Respuesta
Los equipos de seguridad deben alertar cuando se descarguen archivos 7-Zip protegidos por contraseña desde URL sospechosas. Las detecciones adicionales deben centrarse en la ejecución de ejecutables acolchados inusualmente grandes y rundll32 lanzando DLLs desde directorios temporales o accesibles por el usuario. La telemetría de red debe correlacionarse con los dominios y la dirección IP enumerados, y cualquier sistema afectado debe ser puesto en cuarentena inmediatamente para su investigación y remediación.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["<b>Technique</b> – <b>T1659 Inyección de Contenido</b><br/>Comprometer sitios web para inyectar recursos maliciosos como enlaces de descarga."] class technique_content_injection technique tool_lumma_stealer["<b>Herramienta</b> – <b>Nombre</b>: Lumma Stealer<br/><b>Función</b>: Recolecta contraseñas almacenadas y entradas del gestor de credenciales."] class tool_lumma_stealer tool technique_obfuscation_files["<b>Technique</b> – <b>T1027 Archivos o Información Ofuscados</b><br/>Codificar o encriptar cargas útiles para ocultar contenido malicioso."] class technique_obfuscation_files technique technique_compression["<b>Technique</b> – <b>T1027.015 Archivo a través de Utilidad</b><br/>Usar archivo 7‑zip protegido por contraseña para ocultar la carga útil."] class technique_compression technique technique_credential_store["<b>Technique</b> – <b>T1555 Credenciales de Almacenes de Contraseñas</b><br/>Extraer credenciales guardadas en navegadores, aplicaciones o almacenes del SO."] class technique_credential_store technique technique_credential_manager["<b>Technique</b> – <b>T1555.004 Gestor de Credenciales de Windows</b><br/>Volcar credenciales almacenadas en el Gestor de Credenciales de Windows."] class technique_credential_manager technique technique_unsecured_file["<b>Technique</b> – <b>T1552.001 Credenciales No Seguras en Archivos</b><br/>Leer datos de credenciales dejados en archivos de texto sin cifrar."] class technique_unsecured_file technique technique_rundll32_proxy["<b>Technique</b> – <b>T1218.011 Rundll32</b><br/>Ejecutar código DLL a través de rundll32.exe con punto de entrada LoadForm."] class technique_rundll32_proxy technique technique_appcert_dll["<b>Technique</b> – <b>T1546.009 AppCert DLL</b><br/>Activar la carga de DLL a través del mecanismo de Certificación de Aplicaciones."] class technique_appcert_dll technique malware_netgui_dll["<b>Malware</b> – <b>Nombre</b>: NetGui.dll<br/><b>Función</b>: DLL depositada cargada por rundll32."] class malware_netgui_dll malware technique_web_protocol["<b>Technique</b> – <b>T1071.001 Protocolos Web</b><br/>Usar HTTP/HTTPS para tráfico de comando y control."] class technique_web_protocol technique technique_bidirectional["<b>Technique</b> – <b>T1102.002 Servicio Web Bidireccional</b><br/>Intercambiar comandos y datos a través de un canal de servicio web."] class technique_bidirectional technique technique_encrypted_channel["<b>Technique</b> – <b>T1573 Canal Encriptado</b><br/>Encriptar tráfico C2 para evadir detección."] class technique_encrypted_channel technique technique_protocol_tunneling["<b>Technique</b> – <b>T1572 Túnel de Protocolo</b><br/>Encapsular tráfico malicioso dentro de protocolos legítimos."] class technique_protocol_tunneling technique technique_data_obfuscation["<b>Technique</b> – <b>T1001 Ofuscación de Datos</b><br/>Ofuscar datos de carga útil para ocultar su propósito."] class technique_data_obfuscation technique %% Connections technique_content_injection –>|usa| tool_lumma_stealer tool_lumma_stealer –>|entrega| technique_obfuscation_files technique_obfuscation_files –>|incluye| technique_compression technique_compression –>|lleva a| technique_credential_store technique_credential_store –>|también usa| technique_credential_manager technique_credential_manager –>|y| technique_unsecured_file technique_unsecured_file –>|habilita| technique_rundll32_proxy technique_rundll32_proxy –>|carga| malware_netgui_dll malware_netgui_dll –>|activa| technique_appcert_dll technique_appcert_dll –>|establece| technique_web_protocol technique_web_protocol –>|usa| technique_bidirectional technique_bidirectional –>|protegido por| technique_encrypted_channel technique_encrypted_channel –>|oculto además por| technique_protocol_tunneling technique_protocol_tunneling –>|usa| technique_data_obfuscation "
Flujo de Ataque
Detecciones
Puntos de Persistencia Posibles [ASEPs – Software/Colmena NTUSER] (vía registro_evento)
Ver
Ejecución de Path DLL Sospechoso con Rundll32 (vía creación_proceso)
Ver
Tarea Programada Sospechosa (vía auditoría)
Ver
Comando y Control Sospechoso mediante Solicitud DNS con Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
IOCs (HashSha256) para detectar: infección de Lumma Stealer con Sectop RAT (ArechClient2)
Ver
IOCs (SourceIP) para detectar: infección de Lumma Stealer con Sectop RAT (ArechClient2)
Ver
IOCs (DestinationIP) para detectar: infección de Lumma Stealer con Sectop RAT (ArechClient2)
Ver
Detección del Tráfico de Comando y Control de Sectop RAT [Conexión de Red de Windows]
Ver
Detección de Infección de Lumma Stealer y Sectop RAT (ArechClient2) [Evento de Archivo de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación de Pre‑vuelo de Telemetría y Línea Base debe haber pasado.
-
Narrativa del Ataque y Comandos:
El atacante simulado primero obtiene el archivo Lumma Stealer (adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z) de un sitio de descarga comprometido. El archivo se coloca en la carpeta de Descargas del usuario, luego se extrae, escribiendo el DLL malicioso16XBPQ29ZBG94TYNOA.dllen el directorio Temp del usuario. La presencia de este DLL es el indicador exacto que la regla Sigma busca, representando la etapa de carga útil que permite la recolección de credenciales para la subsiguiente infección por Sectop RAT. -
Script de Prueba de Regresión:
# Simular descarga de Lumma Stealer e inyección de DLL $archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" $downloadDir = "$env:USERPROFILEDownloads" $tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" # Paso 1: Crear un archivo de archivo dummy (simulando la descarga) New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null # Paso 2: Simular extracción – crear el DLL malicioso en la carpeta Temp New-Item -Path $tempDllPath -ItemType File -Force | Out-Null Write-Host "Simulación completa: $archiveName creado y DLL colocado en Temp." -
Comandos de Limpieza:
# Eliminar artefactos simulados Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue Write-Host "Limpieza completa."