SOC Prime Bias: Crítico

21 Jan 2026 16:10 UTC

Operación Acceso Encubierto: Phishing Personalizado con Archivos LNK Dirigido al Sector Judicial de Argentina para Desplegar un RAT Encubierto

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operación Acceso Encubierto: Phishing Personalizado con Archivos LNK Dirigido al Sector Judicial de Argentina para Desplegar un RAT Encubierto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Seqrite identificó una operación de spear-phishing que entrega un atajo LNK armado emparejado con un cargador BAT malicioso. Una vez ejecutado, el cargador descarga un troyano de acceso remoto basado en Rust desde un repositorio de GitHub, donde realiza verificaciones anti-análisis y establece un canal de comando y control resistente. Se evalúa que la actividad está dirigida a las organizaciones judiciales de Argentina y entidades gubernamentales adyacentes. Para aumentar la probabilidad de ejecución, los atacantes incluyen contenido señuelo en forma de PDF legítimo en el paquete de entrega.

Investigación

Los analistas examinaron el archivo ZIP que contiene los archivos LNK, BAT y PDF, luego reconstruyeron la secuencia de comandos de PowerShell utilizada para activar el cargador BAT. Perfilaron la funcionalidad del RAT, incluidas las verificaciones anti-VM/anti-sandbox, reconocimiento del host y toma de huellas digitales del sistema, configuración de persistencia y tareas cifradas sobre C2. Los comportamientos observados se mapearon a técnicas relevantes de MITRE ATT&CK, con patrones notables como suplantación de identidad, omisión de políticas de ejecución de PowerShell y lógica secundaria/de respaldo de C2 para mantener la conectividad si los canales primarios fallan.

Mitigación

Aplique una gobernanza estricta para la ejecución de accesos directos (LNK), especialmente desde ubicaciones escribibles por el usuario y archivos comprimidos, y haga cumplir políticas de ejecución de PowerShell endurecidas con un registro centralizado. Restringir o proxy el acceso saliente a repositorios de GitHub no autorizados y alertar sobre patrones sospechosos de descarga y ejecución que se originen en intérpretes de scripts. Monitorizar la persistencia a través de claves de registro Run o tareas programadas con nombres anómalos o recién observados. Donde sea posible, despliegue detecciones que revelen comportamientos comunes anti-análisis y asegúrese de que los usuarios que manejan PDFs funcionen con mínimos privilegios para reducir el radio de impacto de una ejecución exitosa.

Respuesta

Dispara alertas cuando se crea o ejecuta el LNK armado, y cuando se observa la cadena de invocación de PowerShell asociada. Cazar proactivamente el artefacto msedge_proxy.exe dejado y cualquier entrada de persistencia vinculada en el registro o programador de tareas. Aislar los puntos finales afectados, terminar el árbol de procesos maliciosos y eliminar cualquier tarea programada creada y valores de clave Run. Realizar una revisión forense completa para validar el alcance, confirmar si se prepararon o exfiltraron datos, e identificar cualquier host adicional expuesto al mismo patrón de entrega ZIP/LNK.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La comprobación previa de telemetría y línea de base debe haber pasado.

Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) destinada a activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico incorrecto.

  • Narrativa del Ataque y Comandos:

    1. Compromiso Inicial: El atacante envía un correo electrónico de spear-phishing con un .lnk acceso directo armado dirigido a un empleado judicial. El acceso directo apunta a un comando de PowerShell que se ejecuta con -ExecutionPolicy Bypass y una ventana oculta para evitar sospechas.

    2. Flujo de Ejecución: Cuando el usuario hace clic en el acceso directo, Windows ejecuta el siguiente comando, que inicia health-check.bat. El archivo por lotes contiene la carga útil real maliciosa (por ejemplo, un descargador de PowerShell que obtiene un RAT).

       powershell.exe -ep bypass -w hidden -f health-check.bat
    3. Entrega de Carga Útil: health-check.bat realiza un GET HTTP silencioso hacia un C2 malicioso, escribe la carga útil en %TEMP%y lo ejecuta.

  • Script de Prueba de Regresión: El siguiente script reproduce la telemetría exacta creando health-check.bat con contenido inofensivo (para mantener la prueba segura) y luego invocando el comando de PowerShell.

    # -------------------------------------------------
    # Script de Simulación – Ejecución de PowerShell de LNK Armado
    # -------------------------------------------------
    # 1. Crear un dummy health-check.bat (inofensivo para pruebas)
    $batPath = "$env:TEMPhealth-check.bat"
    Set-Content -Path $batPath -Value '@echo off & echo Ejecución de carga útil simulada' -Encoding ASCII
    
    # 2. Ejecutar PowerShell con las banderas exactas y el nombre de script
    $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`""
    Write-Host "Ejecutando: $psCommand"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow
    
    # 3. Esperar unos segundos para asegurarse de que se generen logs
    Start-Sleep -Seconds 5
    # -------------------------------------------------
  • Comandos de Limpieza: Eliminar el archivo batch de prueba y cualquier proceso restante.

    # Limpiar el dummy health-check.bat
    Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue
    
    # Asegurarse de que no quedan instancias de PowerShell de la prueba
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force