Detección de Ataques de Mocha Manakin: Hackers Difunden un Backdoor Personalizado de NodeJS Apodado NodeInitRAT Usando la Técnica de Pegado y Ejecución

Mocha Manakin, se cree que tiene vínculos con el ransomware Interlock operaciones, ha sido observado usando la técnica de pegar y ejecutar phishing para el acceso inicial desde al menos enero de 2025. Los adversarios despliegan un backdoor personalizado en NodeJS, llamado NodeInitRAT, que permite persistencia, reconocimiento, ejecución de comandos y entrega de cargas útiles a través de HTTP, junto con otras operaciones ofensivas que potencialmente pueden llevar a ataques de ransomware.

Detectar Ataques de Pegar y Ejecutar de Mocha Manakin

Los expertos en ciberseguridad han seguido durante mucho tiempo cómo los actores maliciosos aprovechan PowerShell para instalar puertas traseras, ejecutar scripts dañinos y perseguir objetivos ofensivos dentro de la infraestructura de la organización. La lucha continua entre atacantes, defensores y analistas de seguridad sigue pareciendo un juego de gato y ratón. La flexibilidad de PowerShell lo hace indispensable para los administradores del sistema, pero igualmente atractivo para los adversarios, complicando los esfuerzos de detección y convirtiéndolo en una prioridad para las medidas defensivas. En su última campaña, Mocha Manakin usa una técnica de acceso inicial de pegar y ejecutar a través de PowerShell para entregar un backdoor personalizado en NodeJS llamado NodeInitRAT, una amenaza que podría escalar a ransomware, amplificando el riesgo para las organizaciones afectadas.

Regístrese en la Plataforma SOC Prime para obtener un conjunto relevante de reglas Sigma para la actividad de Mocha Manakin, impulsado por un conjunto completo de productos para la ingeniería de detección alimentada por IA, la caza de amenazas automatizada y la detección avanzada de amenazas. Haga clic en el Explorar Detecciones botón y acceda al conjunto curado de contenido SOC para defensa cibernética proactiva. 

Explorar Detecciones

Todos los algoritmos de detección se pueden usar en docenas de soluciones líderes en la industria de SIEM, EDR y Data Lake y están alineados con MITRE ATT&CK® para acelerar la investigación de amenazas y asistir a los equipos de seguridad en sus operaciones diarias de SOC. Cada regla Sigma está enriquecida con metadatos relevantes, como CTI enlaces, cronologías de ataques, configuraciones de auditoría, recomendaciones de clasificación y más referencias útiles para equipar a los defensores con un contexto de amenaza completo. 

¿Qué es Mocha Manakin: Análisis de Últimos Ataques

Investigadores de Red Canary han estado observando la actividad de Mocha Manakin desde enero de 2025 como parte de un conjunto más amplio de grupos adversarios, aprovechando el pegar y ejecutar para el acceso inicial. También conocido como Clickfix o fakeCAPTCHA, este método ofensivo engaña a los usuarios para que ejecuten un script que recupera cargas útiles adicionales desde la infraestructura controlada por el atacante. Esto puede dar luz verde a los atacantes para desplegar diversas muestras maliciosas, como LummaC2, HijackLoader, Vidar, y otros.

Este método adversario ha permanecido consistentemente prevalente y ha expandido su uso desde agosto de 2024. Su popularidad sostenida se debe en gran medida a su efectividad en engañar a los usuarios para ejecutar scripts dañinos en sus dispositivos. La versatilidad de los señuelos de pegar y ejecutar, distribuidos a través de correos electrónicos de phishing, inyecciones de navegador maliciosas y más, permite a los adversarios presentar estos mensajes engañosos a potenciales víctimas.

Sin embargo, Mocha Manakin se destaca de otras campañas similares debido a su despliegue de un backdoor personalizado basado en NodeJS llamado NodeInitRAT. Este último permite a los actores de amenazas mantener acceso persistente y realizar operaciones de reconocimiento, incluidas la enumeración de los principales de usuario y la recopilación de información específica del dominio. NodeInitRAT se comunica a través de HTTP con servidores operados por atacantes, a menudo transmitidos a través de túneles de Cloudflare para enmascarar la infraestructura. Puede ejecutar comandos arbitrarios y entregar muestras de malware adicionales a los anfitriones infectados.

Mocha Manakin comparte varias características operativas con las campañas de ransomware Interlock , incluyendo el uso de técnicas de pegar y ejecutar para el acceso inicial, el despliegue del backdoor NodeInitRAT como una carga útil secundaria y la reutilización de partes de la misma infraestructura del atacante. Notablemente, si no se aborda, la actividad maliciosa tiene el potencial de escalar a incidentes de ransomware.

Los señuelos de pegar y ejecutar típicamente caen en dos categorías: señuelos de reparación de acceso, que engañan a los usuarios haciéndoles creer que deben arreglar el acceso a un archivo o sitio, y señuelos de CAPTCHA falsos, que incitan a los usuarios a verificar que son humanos para proceder, ambos conduciendo a la ejecución de comandos maliciosos. Una vez que un usuario hace clic en el Fix or botón de Verificar dentro del señuelo, un comando PowerShell ofuscado se copia silenciosamente en su portapapeles. Luego, el señuelo les instruye seguir los llamados «pasos de verificación», seguido por el usuario ejecutando un script ofensivo e iniciando el compromiso.

Tras la ejecución exitosa, el comando de pegar y ejecutar de PowerShell de Mocha Manakin lleva a la descarga y ejecución de un cargador de PowerShell. Este último recupera un archivo ZIP que contiene un binario node.exe legítimo e inicia NodeInitRAT pasando el código del malware a través de la línea de comandos. Una vez activo, NodeInitRAT puede establecer persistencia a través de una llave de ejecución del Registro de Windows, realizar reconocimiento del sistema y del dominio, comunicarse con servidores del atacante sobre HTTP, ejecutar comandos arbitrarios para enumerar controladores de dominio, confianzas, administradores y SPNs, desplegar cargas útiles adicionales en EXE, DLL y JS, y ofuscar transferencias de datos usando codificación XOR y compresión GZIP.

Defenderse contra ataques de pegar y ejecutar presenta desafíos a pesar de que la táctica es bien conocida. Las mitigaciones incluyen deshabilitar las teclas rápidas de Windows (por ejemplo, Windows+R/X) a través de la Política de Grupo para bloquear la ejecución rápida de scripts, aunque la adopción es limitada debido a la dependencia del usuario. Para contrarrestar NodeInitRAT, los equipos de seguridad deben terminar cualquier binario node.exe procesos sospechosos, eliminar cargas útiles asociadas como DLLs y eliminar los mecanismos de persistencia. A nivel de red, los defensores recomiendan bloquear o redirigir cualquier dominio C2 e IP vinculados a NodeInitRAT, así como monitorear registros de DNS y tráfico para indicadores de compromiso.

Dado que Mocha Manakin y NodeInitRAT comparten características clave con la actividad de ransomware Interlock, la detección y respuesta temprana son críticas. Confíe en el conjunto completo de productos de SOC Primes respaldado por IA, automatización e inteligencia de amenazas en tiempo real para identificar ciberataques en sus etapas más tempranas y salvaguardar proactivamente su infraestructura, sin dejar oportunidad para que las amenazas emergentes pasen desapercibidas bajo su vigilancia.