Matanbuchus 3.0: Análisis Técnico
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Matanbuchus es un descargador malicioso basado en C++ que se ha distribuido como una oferta de Malware-como-Servicio (MaaS) desde 2020. La versión 3.0, observada en julio de 2025, introduce serialización basada en Protobuf, cifrado ChaCha20, y múltiples nuevas técnicas de anti-análisis. El malware se compone de un módulo de descarga que recupera un módulo de puerta trasera primaria desde su servidor C2, luego maneja la persistencia, la ejecución de comandos y la entrega de cargas útiles posteriores. Se ha vinculado a incidentes de ransomware y a campañas que distribuyen el ladrón de información Rhadamanthys y NetSupport RAT.
Análisis de Matanbuchus 3.0
El análisis describe dos componentes, un descargador y un módulo principal, y recorre la cadena de infección inicial usando QuickAssist, un MSI malicioso alojado en gpa-cro.com, y un DLL de carga lateral que se hace pasar por HRUpdate.exe. El descargador contacta a mechiraz.com para obtener el módulo principal, que luego se registra con el C2, crea una tarea programada llamada Tarea de Seguimiento de Actualizaciones, y establece un mutex por host. El tráfico C2 fluye sobre HTTPS usando mensajes Protobuf encriptados asegurados con claves y nonces ChaCha20.
Mitigación
Las medidas defensivas incluyen bloquear los dominios maliciosos gpa-cro.com y mechiraz.com en el borde de la red, monitorear la creación de la Tarea de Seguimiento de Actualizaciones y la clave de registro HKCU asociada, y hacer cumplir la lista blanca de aplicaciones para evitar que se ejecuten paquetes MSI no confiables y DLL cargados lateralmente. Los equipos de seguridad deben detectar el tráfico característico encriptado con ChaCha20 y restringir el uso de utilidades de Windows como msiexec para archivos no firmados o no verificados.
Respuesta
Cuando se detecta actividad de Matanbuchus, aísle el sistema afectado, capture la definición de la tarea programada, la entrada de registro, el valor del mutex y cualquier carga útil recuperada, y luego elimine los binarios y tareas maliciosas. Realice análisis forense integral del punto final para descubrir cargas útiles de segunda etapa y cualquier dato exfiltrado, seguido de restablecer credenciales expuestas y remediar las cuentas del Active Directory afectadas.
Flujo de Ataque
Detecciones
Detección de Actividad Maliciosa de Matanbuchus a través de la Ejecución de QuickAssist y HRUpdate.exe [Creación de Procesos en Windows]
Ver
Detectar Acceso URL Malicioso de Matanbuchus [Conexión de Red en Windows]
Ver
IOCs (HashSha256) para detectar: Análisis Técnico de Matanbuchus 3.0
Ver
Msiexec Ejecutando Dll en Directorios Sospechosos (a través de línea de comandos)
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Narrativa y Comandos de Ataque
- Ejecución del Usuario (T1204) – El atacante persuade al usuario para que abra QuickAssist.
- Carga Lateral de DLL (T1574.001) – Mientras QuickAssist se ejecuta, el atacante copia un DLL malicioso (
malicious.dll) en el mismo directorio que HRUpdate.exe y luego lanza HRUpdate.exe, lo que hace que se cargue el DLL malicioso. - Creación de Tarea Programada (T1546.010) – El atacante usa msiexec.exe -z combinado con un comando de shell (
powershell -EncodedCommand …) para crear una tarea programada oculta que ejecuta la carga maliciosa. - Ejecución de Proxies Binarios Firmados (T1218.002 / T1218.007) – La carga se lanza mediante msiexec y opcionalmente mediante WMI (
wmic process call create …) para mezclarse con acciones legítimas de administración.
Guion de Prueba de Regresión
# -------------------------------------------------
# Guion de Simulación – Actividad de Matanbuchus (TTPs)
# -------------------------------------------------
# 1. Despliegue el DLL malicioso junto a HRUpdate.exe
$malDllPath = "$env:ProgramFilesHRUpdatemalicious.dll"
Copy-Item -Path ".malicious.dll" -Destination $malDllPath -Force
# 2. Inicie QuickAssist (legítimo)
Start-Process -FilePath "C:Program FilesQuickAssistQuickAssist.exe" -WindowStyle Hidden
# 3. Ejecute HRUpdate.exe para activar la carga lateral del DLL
Start-Process -FilePath "C:Program FilesHRUpdateHRUpdate.exe" -ArgumentList "/silent" -Wait
# 4. Cree una tarea programada usando msiexec.exe -z
$taskName = "SysUpdate"
$taskCmd = "powershell -NoProfile -WindowStyle Hidden -EncodedCommand " +
([Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('Start-Process notepad.exe')))
$msiCmd = "msiexec.exe -z $taskName /quiet /qn /l*v `"$env:TEMPmsi.log`" /i $taskCmd"
Start-Process -FilePath "C:WindowsSystem32msiexec.exe" -ArgumentList $msiCmd -WindowStyle Hidden
# 5. (Opcional) Ejecute la misma carga útil a través de WMI para cubrir T1218.007
$wmiCmd = "cmd /c $taskCmd"
wmic process call create "$wmiCmd"
# -------------------------------------------------
# Fin de la Simulación
# -------------------------------------------------
Comandos de Limpieza
# Terminar cualquier proceso residual de QuickAssist o HRUpdate
Get-Process -Name "QuickAssist","HRUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force
# Eliminar el DLL malicioso
Remove-Item -Path "$env:ProgramFilesHRUpdatemalicious.dll" -Force -ErrorAction SilentlyContinue
# Borrar la tarea programada
dürschtasks /Delete /TN "SysUpdate" /F
# Remover el log temporal de msiexec
Remove-Item -Path "$env:TEMPmsi.log" -Force -ErrorAction SilentlyContinue