SOC Prime Bias: Alto

03 Dec 2025 16:02 UTC

Matanbuchus 3.0: Análisis Técnico

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Matanbuchus 3.0: Análisis Técnico
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Matanbuchus es un descargador malicioso basado en C++ que se ha distribuido como una oferta de Malware-como-Servicio (MaaS) desde 2020. La versión 3.0, observada en julio de 2025, introduce serialización basada en Protobuf, cifrado ChaCha20, y múltiples nuevas técnicas de anti-análisis. El malware se compone de un módulo de descarga que recupera un módulo de puerta trasera primaria desde su servidor C2, luego maneja la persistencia, la ejecución de comandos y la entrega de cargas útiles posteriores. Se ha vinculado a incidentes de ransomware y a campañas que distribuyen el ladrón de información Rhadamanthys y NetSupport RAT.

Análisis de Matanbuchus 3.0

El análisis describe dos componentes, un descargador y un módulo principal, y recorre la cadena de infección inicial usando QuickAssist, un MSI malicioso alojado en gpa-cro.com, y un DLL de carga lateral que se hace pasar por HRUpdate.exe. El descargador contacta a mechiraz.com para obtener el módulo principal, que luego se registra con el C2, crea una tarea programada llamada Tarea de Seguimiento de Actualizaciones, y establece un mutex por host. El tráfico C2 fluye sobre HTTPS usando mensajes Protobuf encriptados asegurados con claves y nonces ChaCha20.

Mitigación

Las medidas defensivas incluyen bloquear los dominios maliciosos gpa-cro.com y mechiraz.com en el borde de la red, monitorear la creación de la Tarea de Seguimiento de Actualizaciones y la clave de registro HKCU asociada, y hacer cumplir la lista blanca de aplicaciones para evitar que se ejecuten paquetes MSI no confiables y DLL cargados lateralmente. Los equipos de seguridad deben detectar el tráfico característico encriptado con ChaCha20 y restringir el uso de utilidades de Windows como msiexec para archivos no firmados o no verificados.

Respuesta

Cuando se detecta actividad de Matanbuchus, aísle el sistema afectado, capture la definición de la tarea programada, la entrada de registro, el valor del mutex y cualquier carga útil recuperada, y luego elimine los binarios y tareas maliciosas. Realice análisis forense integral del punto final para descubrir cargas útiles de segunda etapa y cualquier dato exfiltrado, seguido de restablecer credenciales expuestas y remediar las cuentas del Active Directory afectadas.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Narrativa y Comandos de Ataque

  1. Ejecución del Usuario (T1204) – El atacante persuade al usuario para que abra QuickAssist.
  2. Carga Lateral de DLL (T1574.001) – Mientras QuickAssist se ejecuta, el atacante copia un DLL malicioso (malicious.dll) en el mismo directorio que HRUpdate.exe y luego lanza HRUpdate.exe, lo que hace que se cargue el DLL malicioso.
  3. Creación de Tarea Programada (T1546.010) – El atacante usa msiexec.exe -z combinado con un comando de shell (powershell -EncodedCommand …) para crear una tarea programada oculta que ejecuta la carga maliciosa.
  4. Ejecución de Proxies Binarios Firmados (T1218.002 / T1218.007) – La carga se lanza mediante msiexec y opcionalmente mediante WMI (wmic process call create …) para mezclarse con acciones legítimas de administración.

Guion de Prueba de Regresión

# -------------------------------------------------
# Guion de Simulación – Actividad de Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Despliegue el DLL malicioso junto a HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force

# 2. Inicie QuickAssist (legítimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden

# 3. Ejecute HRUpdate.exe para activar la carga lateral del DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait

# 4. Cree una tarea programada usando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd  = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
            ([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden

# 5. (Opcional) Ejecute la misma carga útil a través de WMI para cubrir T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fin de la Simulación
# -------------------------------------------------

Comandos de Limpieza

# Terminar cualquier proceso residual de QuickAssist o HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar el DLL malicioso
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue

# Borrar la tarea programada
dürschtasks /Delete /TN "SysUpdate" /F

# Remover el log temporal de msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue