Identificando a un afiliado: SmokedHam, Qilin, algunos anuncios de Google y cierto bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Orange Cyberdefense informó que, a principios de 2026, un afiliado de ransomware distribuyó el backdoor SmokedHam a través de anuncios maliciosos que se hacían pasar por software legítimo de utilidades. En al menos una intrusión confirmada, el backdoor se utilizó posteriormente para entregar el ransomware Qilin. Los investigadores atribuyeron la actividad con confianza moderada al afiliado de habla rusa UNC2465, un actor de amenaza previamente asociado con las operaciones de DarkSide, LockBit y Hunters International.
Investigación
La investigación revisó más de 30 muestras de SmokedHam recopiladas durante 2025 y 2026, identificando dominios de malvertising que dependían de Cloudflare Workers para el enmascaramiento de dominios junto con infraestructura alojada en AWS. Los analistas también documentaron el abuso de herramientas legítimas como PuTTY y Total Commander para ayudar a que la actividad maliciosa se confundiera con operaciones administrativas normales. El informe destacó además superposiciones tácticas con actividad previamente vinculada a UNC2465.
Mitigación
Los defensores deben bloquear los dominios de malvertising conocidos, aplicar listas de permisos de aplicaciones para herramientas como RVTools y Remote Desktop Manager, y monitorear el uso inusual de utilidades administrativas legítimas. También se debe fortalecer la cobertura de detección en el endpoint para identificar el comportamiento del backdoor SmokedHam y la actividad posterior al compromiso. El uso de fuentes de inteligencia contra amenazas basadas en la nube puede mejorar aún más los esfuerzos de detección y enriquecimiento.
Respuesta
Si se identifica actividad sospechosa, aísle el host afectado inmediatamente, recoja artefactos forenses y busque indicadores asociados tanto con SmokedHam como con Qilin. Los investigadores también deben determinar si ya ha ocurrido robo de credenciales o cifrado de ransomware. Se recomienda una búsqueda de amenazas más amplia en toda la infraestructura relacionada, junto con la activación de procedimientos establecidos de respuesta a incidentes de ransomware.
Flujo de Ataque
Detecciones
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (vía registry_event)
Ver
Posible Compresión de Datos para Infiltración o Exfiltración (vía cmdline)
Ver
Ejecución de GPG Sospechosa (vía cmdline)
Ver
Cadenas de Powershell Sospechosas (vía powershell)
Ver
Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)
Ver
Posible Intento de Abuso de Ethereum Publicnode como Canal C2 (vía dns_query)
Ver
Posible Infiltración/Exfiltración de Datos/C2 a través de Servicios/Herramientas de Terceros (vía proxy)
Ver
Posible Infiltración/Exfiltración de Datos/C2 a través de Servicios/Herramientas de Terceros (vía dns)
Ver