SOC Prime Bias: Crítico

30 Dec 2025 13:52 UTC

Zorro Plateado Ataca a India con Cebos de Phishing Temáticos de Impuestos

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Zorro Plateado Ataca a India con Cebos de Phishing Temáticos de Impuestos
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un grupo APT chino llamado Silver Fox lleva a cabo una campaña de phishing con temática fiscal contra entidades indias. El correo electrónico inicial contiene un PDF que dirige a las víctimas a un dominio malicioso y desencadena la descarga de un archivo ZIP. El ZIP contiene un instalador NSIS que despliega Thunder.exe y un libexpat.dll malicioso que realiza secuestro de DLL, comprobaciones anti-análisis y carga código shell cifrado. La carga final es un Valley RAT que recibe configuración desde una infraestructura C2 multinivel.

Investigación

El informe detalla cuatro etapas: (1) entrega de un ZIP a través de un señuelo PDF, (2) ejecución de un instalador NSIS que despliega Thunder.exe y libexpat.dll, (3) un cargador de código shell generado por Donut que se inyecta en explorer.exe, y (4) implementación de Valley RAT con persistencia basada en el registro y complementos modulares. El análisis incluye un examen estático y dinámico de los binarios, enumeración de dominios C2, y mapeo a las técnicas ATT&CK.

Mitigación

Los defensores deberían monitorear la carga de binarios firmados que cargan DLLs no firmadas desde ubicaciones temporales, escrituras en el registro bajo HKCUConsole, y la creación anormal de memoria PAGE_EXECUTE_READWRITE en explorer.exe. Bloquear dominios e IPs C2 conocidos y detectar comportamientos de retén multinivel reducirá la exposición. Implementar un control estricto de aplicaciones y detección de evasión de sandbox para detener el instalador NSIS inicial.

Respuesta

Cuando se observa un indicador, aísle el host afectado, recopile memoria volátil para análisis de inyección de procesos, y busque claves de registro y complementos del Valley RAT. Bloquee toda la infraestructura C2 identificada y restablezca las credenciales comprometidas. Realice una revisión forense completa para identificar cualquier complemento adicional o herramientas de movimiento lateral.

Flujo de ataque

Ejecución de Simulación

Prerrequisito: La Verificación de Telemetría y Línea de Base Pre‑vuelo debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa de Ataque & Comandos:
    Un adversario entrega un DLL malicioso junto a un “Thunder.exe” desplegado a la víctima %TEMP% directorio. Para evitar la sospecha del usuario, la carga útil se inicia utilizando el ya en ejecución explorer.exe proceso usando la API de ShellExecute de Windows, lo que resulta en un evento de creación de proceso donde explorer.exe aparece como padre. El Thunder.exe malicioso subsiguientemente carga el DLL malicioso (secuestro de DLL) e inyecta código shell en el explorer.exe proceso (inyección de proceso), logrando ejecución de código con el token del usuario.

  • Script de Prueba de Regresión:

    # -------------------------------------------------
    # Script de regresión para activar la detección Sigma
    # -------------------------------------------------
    # 1. Preparar un falso Thunder.exe (copia de notepad.exe)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (Opcional) Soltar un DLL malicioso junto a él para imitar secuestro
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # Para demostración, solo creamos un archivo vacío; en una prueba real, esto sería un DLL creado.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. Lanzar Thunder.exe vía explorer.exe usando ShellExecute (simulado con Start-Process -Verb RunAs)
    $explorer = (Get-Process -Name explorer).Id
    # Usar PowerShell para iniciar el proceso con explorer como padre (requiere API de bajo nivel; aquí aproximamos)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. Esperar un corto período para permitir la generación de logs
    Start-Sleep -Seconds 5
    
    # 5. Limpieza (manejada en la siguiente sección)
  • Comandos de Limpieza:

    # -------------------------------------------------
    # Limpieza después de la simulación
    # -------------------------------------------------
    # Remover el falso Thunder.exe y DLL ficticio de %TEMP%
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente terminar cualquier proceso Thunder.exe persistente
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force