SOC Prime Bias: Alto

17 Apr 2026 14:27 UTC

Identificando a un afiliado: SmokedHam, Qilin, algunos anuncios de Google y cierto bossware

Author Photo
SOC Prime Team linkedin icon Seguir
Identificando a un afiliado: SmokedHam, Qilin, algunos anuncios de Google y cierto bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Orange Cyberdefense informó que, a principios de 2026, un afiliado de ransomware distribuyó el backdoor SmokedHam a través de anuncios maliciosos que se hacían pasar por software legítimo de utilidades. En al menos una intrusión confirmada, el backdoor se utilizó posteriormente para entregar el ransomware Qilin. Los investigadores atribuyeron la actividad con confianza moderada al afiliado de habla rusa UNC2465, un actor de amenaza previamente asociado con las operaciones de DarkSide, LockBit y Hunters International.

Investigación

La investigación revisó más de 30 muestras de SmokedHam recopiladas durante 2025 y 2026, identificando dominios de malvertising que dependían de Cloudflare Workers para el enmascaramiento de dominios junto con infraestructura alojada en AWS. Los analistas también documentaron el abuso de herramientas legítimas como PuTTY y Total Commander para ayudar a que la actividad maliciosa se confundiera con operaciones administrativas normales. El informe destacó además superposiciones tácticas con actividad previamente vinculada a UNC2465.

Mitigación

Los defensores deben bloquear los dominios de malvertising conocidos, aplicar listas de permisos de aplicaciones para herramientas como RVTools y Remote Desktop Manager, y monitorear el uso inusual de utilidades administrativas legítimas. También se debe fortalecer la cobertura de detección en el endpoint para identificar el comportamiento del backdoor SmokedHam y la actividad posterior al compromiso. El uso de fuentes de inteligencia contra amenazas basadas en la nube puede mejorar aún más los esfuerzos de detección y enriquecimiento.

Respuesta

Si se identifica actividad sospechosa, aísle el host afectado inmediatamente, recoja artefactos forenses y busque indicadores asociados tanto con SmokedHam como con Qilin. Los investigadores también deben determinar si ya ha ocurrido robo de credenciales o cifrado de ransomware. Se recomienda una búsqueda de amenazas más amplia en toda la infraestructura relacionada, junto con la activación de procedimientos establecidos de respuesta a incidentes de ransomware.

Flujo de Ataque

Simulación

Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones

Notifíqueme