Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Matanbuchus es un descargador malicioso basado en C++ que se ha distribuido como una oferta de Malware-como-Servicio (MaaS) desde 2020. La versión 3.0, observada en julio de 2025, introduce serialización basada en Protobuf, cifrado ChaCha20, y múltiples nuevas técnicas de anti-análisis. El malware se compone de un módulo de descarga que recupera un módulo de puerta trasera primaria desde su servidor C2, luego maneja la persistencia, la ejecución de comandos y la entrega de cargas útiles posteriores. Se ha vinculado a incidentes de ransomware y a campañas que distribuyen el ladrón de información Rhadamanthys y NetSupport RAT.
Análisis de Matanbuchus 3.0
El análisis describe dos componentes, un descargador y un módulo principal, y recorre la cadena de infección inicial usando QuickAssist, un MSI malicioso alojado en gpa-cro.com, y un DLL de carga lateral que se hace pasar por HRUpdate.exe. El descargador contacta a mechiraz.com para obtener el módulo principal, que luego se registra con el C2, crea una tarea programada llamada Tarea de Seguimiento de Actualizaciones, y establece un mutex por host. El tráfico C2 fluye sobre HTTPS usando mensajes Protobuf encriptados asegurados con claves y nonces ChaCha20.
Mitigación
Las medidas defensivas incluyen bloquear los dominios maliciosos gpa-cro.com y mechiraz.com en el borde de la red, monitorear la creación de la Tarea de Seguimiento de Actualizaciones y la clave de registro HKCU asociada, y hacer cumplir la lista blanca de aplicaciones para evitar que se ejecuten paquetes MSI no confiables y DLL cargados lateralmente. Los equipos de seguridad deben detectar el tráfico característico encriptado con ChaCha20 y restringir el uso de utilidades de Windows como msiexec para archivos no firmados o no verificados.
Respuesta
Cuando se detecta actividad de Matanbuchus, aísle el sistema afectado, capture la definición de la tarea programada, la entrada de registro, el valor del mutex y cualquier carga útil recuperada, y luego elimine los binarios y tareas maliciosas. Realice análisis forense integral del punto final para descubrir cargas útiles de segunda etapa y cualquier dato exfiltrado, seguido de restablecer credenciales expuestas y remediar las cuentas del Active Directory afectadas.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes – Techniques, Tools, Processes init_remote_access[«<b>Técnica</b> – <b>T1219 Herramientas de Acceso Remoto</b><br />Se utilizó QuickAssist para obtener acceso inicial.»] tool_quickassist[«<b>Herramienta</b> – <b>Nombre</b>: QuickAssist<br /><b>Descripción</b>: Utilidad de asistencia remota de Windows»] execution_user_exec[«<b>Técnica</b> – <b>T1204.002 Ejecución del Usuario</b><br />MSI malicioso descargado mediante línea de comandos»] process_msi[«<b>Proceso</b> – <b>Nombre</b>: Malicious.msi<br /><b>Descripción</b>: Carga útil entregada»] tool_cmdshell[«<b>Herramienta</b> – <b>Nombre</b>: Intérprete de Comandos de Windows<br /><b>ID de Técnica</b>: T1059.003»] process_hrupdate[«<b>Proceso</b> – <b>Nombre</b>: HRUpdate.exe<br /><b>Descripción</b>: Ejecutado por cmd»] tool_msiexec[«<b>Herramienta</b> – <b>Nombre</b>: Msiexec<br /><b>ID de Técnica</b>: T1218.007<br />Usado para carga lateral de DLL»] process_maliciousdll[«<b>Proceso</b> – <b>Nombre</b>: DLL maliciosa<br /><b>Descripción</b>: Cargada mediante msiexec»] persistence_schtask[«<b>Técnica</b> – <b>T1053 Tarea/Trabajo Programado</b><br />Crea una tarea para ejecutar msiexec al reiniciar»] discovery_systeminfo[«<b>Técnica</b> – <b>T1082 Descubrimiento de Información del Sistema</b><br />Recopila nombre del host, SO, etc.»] discovery_identity[«<b>Técnica</b> – <b>T1589 Recolección de Información de Identidad de la Víctima</b><br />Recopila detalles de usuario y dominio»] discovery_network[«<b>Técnica</b> – <b>T1590.001 Propiedades del Dominio</b><br />Recopila información del dominio y productos de seguridad»] defense_obfuscation[«<b>Técnica</b> – <b>T1027 Archivos u Información Ofuscados</b><br />Resolución dinámica de API y código basura»] defense_deobfuscate[«<b>Técnica</b> – <b>T1140 Desofuscar/Decodificar Archivos o Información</b>»] defense_virustime[«<b>Técnica</b> – <b>T1497.003 Evasión Basada en Tiempo</b>»] defense_useractivity[«<b>Técnica</b> – <b>T1497.002 Comprobaciones Basadas en Actividad del Usuario</b>»] c2_webservice[«<b>Técnica</b> – <b>T1102.002 Servicio Web Comunicación Bidireccional</b><br />HTTPS con Protobuf cifrado»] c2_appprotocol[«<b>Técnica</b> – <b>T1071 Protocolo de Capa de Aplicación</b><br />Utiliza HTTP/HTTPS»] payload_powershell[«<b>Técnica</b> – <b>T1059.001 PowerShell</b><br />Ejecuta cargas útiles descargadas»] payload_cmdshell[«<b>Técnica</b> – <b>T1059.003 Intérprete de Comandos de Windows</b><br />Ejecuta EXE DLL MSI»] process_injection[«<b>Técnica</b> – <b>T1055.001 Inyección de DLL</b><br />Inyecta mediante tuberías con nombre»] tool_wmi[«<b>Herramienta</b> – <b>Nombre</b>: Administración Remota de Windows (WMI)<br /><b>ID de Técnica</b>: T1021.006»] %% Class Assignments class init_remote_access action class tool_quickassist tool class execution_user_exec action class process_msi process class tool_cmdshell tool class process_hrupdate process class tool_msiexec tool class process_maliciousdll process class persistence_schtask action class discovery_systeminfo action class discovery_identity action class discovery_network action class defense_obfuscation action class defense_deobfuscate action class defense_virustime action class defense_useractivity action class c2_webservice action class c2_appprotocol action class payload_powershell action class payload_cmdshell action class process_injection action class tool_wmi tool %% Connections – Attack Flow init_remote_access u002du002d>|usa| tool_quickassist tool_quickassist u002du002d>|habilita| execution_user_exec execution_user_exec u002du002d>|descarga| process_msi process_msi u002du002d>|ejecutado por| tool_cmdshell tool_cmdshell u002du002d>|ejecuta| process_hrupdate process_hrupdate u002du002d>|inicia| tool_msiexec tool_msiexec u002du002d>|carga| process_maliciousdll process_maliciousdll u002du002d>|crea| persistence_schtask persistence_schtask u002du002d>|ejecuta al reiniciar| tool_msiexec persistence_schtask u002du002d>|ejecuta| process_maliciousdll init_remote_access u002du002d>|conduce a| discovery_systeminfo init_remote_access u002du002d>|conduce a| discovery_identity init_remote_access u002du002d>|conduce a| discovery_network process_maliciousdll u002du002d>|emplea| defense_obfuscation process_maliciousdll u002du002d>|usa| defense_deobfuscate process_maliciousdll u002du002d>|aplica| defense_virustime process_maliciousdll u002du002d>|aplica| defense_useractivity process_maliciousdll u002du002d>|se comunica con| c2_webservice c2_webservice u002du002d>|usa| c2_appprotocol c2_webservice u002du002d>|entrega| payload_powershell c2_webservice u002du002d>|entrega| payload_cmdshell payload_powershell u002du002d>|ejecuta| process_injection payload_cmdshell u002du002d>|ejecuta| process_injection process_injection u002du002d>|usa| tool_wmi
Flujo de Ataque
Detecciones
Detección de Actividad Maliciosa de Matanbuchus a través de la Ejecución de QuickAssist y HRUpdate.exe [Creación de Procesos en Windows]
Ver
Detectar Acceso URL Malicioso de Matanbuchus [Conexión de Red en Windows]
Ver
IOCs (HashSha256) para detectar: Análisis Técnico de Matanbuchus 3.0
Ver
Msiexec Ejecutando Dll en Directorios Sospechosos (a través de línea de comandos)
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Narrativa y Comandos de Ataque
- Ejecución del Usuario (T1204) – El atacante persuade al usuario para que abra QuickAssist.
- Carga Lateral de DLL (T1574.001) – Mientras QuickAssist se ejecuta, el atacante copia un DLL malicioso (
malicious.dll) en el mismo directorio que HRUpdate.exe y luego lanza HRUpdate.exe, lo que hace que se cargue el DLL malicioso. - Creación de Tarea Programada (T1546.010) – El atacante usa msiexec.exe -z combinado con un comando de shell (
powershell -EncodedCommand …) para crear una tarea programada oculta que ejecuta la carga maliciosa. - Ejecución de Proxies Binarios Firmados (T1218.002 / T1218.007) – La carga se lanza mediante msiexec y opcionalmente mediante WMI (
wmic process call create …) para mezclarse con acciones legítimas de administración.
Guion de Prueba de Regresión
# -------------------------------------------------
# Guion de Simulación – Actividad de Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Despliegue el DLL malicioso junto a HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force
# 2. Inicie QuickAssist (legítimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden
# 3. Ejecute HRUpdate.exe para activar la carga lateral del DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait
# 4. Cree una tarea programada usando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden
# 5. (Opcional) Ejecute la misma carga útil a través de WMI para cubrir T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fin de la Simulación
# -------------------------------------------------Comandos de Limpieza
# Terminar cualquier proceso residual de QuickAssist o HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force
# Eliminar el DLL malicioso
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue
# Borrar la tarea programada
dürschtasks /Delete /TN "SysUpdate" /F
# Remover el log temporal de msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue